FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

据BleepingComputer消息，一款最初被设计为红队演练之用的工具MacroPack近来正被攻击者滥用并部署恶意负载 Havoc、Brute Ratel 和 PhatomCore ，所发现的恶意文档已涉及多个国家和地区。

MacroPack 是由法国开发人员 Emeric Nasi （dba BallisKit） 创建的专注于红队演习演练和对手模拟的专有工具，提供反恶意软件绕过、反逆技术、使用代码混淆构建各种文档有效负载、嵌入无法检测的 VB 脚本等多项高级功能。

Cisco Talos 的安全研究人员研究了来自美国、俄罗斯和巴基斯坦等国家和地区在 VirusTotal 上提交的恶意文档，这些文件的诱饵、复杂程度和感染载体各不相同，表明 MacroPack 正被多个攻击者滥用，已成为一种潜在的威胁趋势。

这些被捕获的野外样本都有在 MacroPack 上创建的痕迹，包括基于马尔可夫链的函数和变量重命名、删除注释和多余的空格字符（这些字符可将静态分析检测率降到最低）以及字符串编码。

当受害者打开这些恶意Office 文档时会触发第一级 VBA 代码，该代码会加载恶意 DLL，并连接到攻击者的命令和控制 (C2) 服务器。

攻击链

Cisco Talos 的报告了一些与MacroPack 滥用相关的重要恶意活动集群：

美国：2023 年 3 月上传的一份文件伪装成加密的 NMLS 更新表格，并使用马尔可夫链生成的函数名来逃避检测。 该文档包含多级 VBA 代码，在尝试通过 mshta.exe 下载未知有效载荷之前会检查沙盒环境。

装成加密的 NMLS 更新表格

俄罗斯：2024 年 7 月，一个俄罗斯 IP 上传的空白 Excel 工作簿提供了 PhantomCore，这是一个基于 Golang 的用于间谍活动的后门 。 该文件运行多级 VBA 代码，试图从远程 URL 下载后门。

巴基斯坦：从巴基斯坦各地上传了以巴基斯坦军事为主题的文件。 其中一份文件伪装成巴基斯坦空军的通知，另一份伪装成就业确认书，部署了 Brute Ratel 獾。 这些文件通过 HTTPS DNS 和亚马逊 CloudFront 进行通信，其中一个文档嵌入了 base64 编码的 blob 以用于 Adobe Experience Cloud 跟踪。

BleepingComputer 已就观察到的滥用行为联系了 开发者Emeric Nasi，但目前尚未收到回复。

参考来源：

BleepingComputer

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022