MacroPack, gizlenmiş VBA kötü amaçlı yazılımları oluşturmak için kullanışlı bir araçtır, ancak Microsoft’tan indirilen Office belgelerinde makro yürütmenin kısıtlanmış olması durumunda bile hala bir risktir.
Bu araç, değişkenleri veya işlevleri yeniden adlandırma, dize kodlamaları ve gizlenmiş kapsama alanı gibi harika işlevlere izin veren ofis dosyaları, betikler ve kısayollar gibi çeşitli çıktı türleri oluşturabilir.
Araç aslında Red Team operasyonları için tasarlanmış, ancak ücretsiz sürümünün olması kırmızı alarm veriyor.
Cisco Talos’taki siber güvenlik analistleri, bilgisayar korsanlarının, çok sayıda kötü amaçlı yük dağıtmak için Kırmızı Takım aracı ‘MacroPack’i aktif olarak kötüye kullandığını tespit etti.
Profesyonellerden gelen itirazların çoğu, çerçevenin pazarlama özelliklerine odaklanıyor.
İçerik imzası kaçınma teknikleriyle tartışmasız yükler üretme kapasitesinin yanı sıra, kötü amaçlı yazılımlara karşı koruma ve geri dönüş önleme yetenekleri gibi daha gelişmiş özelliklere sahip profesyonel bir top içeren pazarlama stratejisi, farklı tehdit aktörlerinin ilgisini çekmeye devam ediyor.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
UNC1151’e atfedilemeyen tehdit avı tatbikatları sırasında şüpheli olarak değerlendirilen dokümanlar, MacroPack’in ticari VBA şemasına benzer bir VBA kodu kullanmış olup, saldırı senaryolarının hiçbirinde kullanılmamıştır.
Kötü amaçlı belgelerin dizilimin nedeni düşünüldüğünde, belirgin bir tekrarlayan olgu fark edildi.
Araştırmacılar, bu alt rutinlerin çevrimiçi VBA örneklerinden türetildiğini keşfettiler. Bunlardan biri Michel Martin’in Redigez Facilement Des Documents Avec Word adlı kitabında yer alıyordu ve kötü amaçlı yazılım oluşturmak için kullanılan macro pack premium edition yazılımıyla ilişkiliydi.
).webp)
Kötü amaçlı belgeler genellikle C2 iletişiminden önce üç aşamalı bir enfeksiyon süreci kullanır. Bazı örnekler kırmızı takım egzersizleri olarak doğrulanırken, diğerleri atıfsız kaldı.
Tutarlı TTP’ler ve belge tuzakları, MacroPack’i kullanan birden fazla tehdit aktörüne işaret ediyor, ancak belirli grup atıflarının yapılması zor oldu.
Bu sonuçlar, kötü amaçlı yazılımların gizlenmesi ve maskelenmesine ilişkin modern gerçekleri ortaya koymakta ve siber güvenlik alanında karmaşık tehdit istihbaratı tekniklerinin kullanılmasının gerekliliğini vurgulamaktadır.
2023-2024 yılları arasında Çin, Pakistan, Rusya ve ABD’den VirusTotal’e, VBA makro karartma aracı olan MacroPack’i kullanan kötü amaçlı belgeler yüklendi.
Bunlar çeşitli temalara ve yüklere sahipti:-
- Çince yüklemelerde Havoc Demon ve Brute Ratel, Çince ve İngilizce yemlerle birlikte kullanıldı.
- Pakistan belgelerinde gelişmiş C2’ye sahip askeri temalı Brute Ratel DLL porsuklarının konuşlandırıldığı belirtildi.
- Rusya’dan yapılan bir yükleme, Ukraynalı hacktivistlerin PhantomCore arka kapısına yol açtı.
- ABD’de yapılan bir yüklemede, deneme amaçlı denemeler ve deneme amaçlı HTML uygulaması indirmeleri yer aldı.
Tüm belgeler, genellikle görevlerini tamamlayan kabuk kodu yükleyicileri kisvesi altında oluşturulan çeşitli kötü amaçlı kod biçimlerini başlatmak için VBA makrolarını kullanıyordu.
C2 sunucuları çeşitli IP aralıklarına dağıtıldı ve DNS tünellemesi ve diğer CND sunucuları aracılığıyla iletişim sağlandı.
Yükler ayrıca sistemleri anında kontrol edebilecek, sistemler içindeki öğeleri hareket ettirebilecek ve sistemlerden veri çıkarabilecek kadar çok yönlü olan istismar sonrası araç takımlarını da taşıyordu.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!