Siber suçlular, kötü amaçlı yükleri dağıtmak için kırmızı takım tatbikatları için tasarlanmış meşru bir çerçeve olan MacroPack’i kullanmış olabilir. Bu araçlar arasında Brute Ratel ve Havoc araçları ile PhantomCore uzaktan erişim trojanının (RAT) yeni bir türü yer alıyor.
MacroPack tuzak belgelerinin analizi, tespitten kaçınmak için işlev ve değişken yeniden adlandırma, dize kodlama ve yorumların ve fazla boşlukların kaldırılması gibi karartma tekniklerinin kullanıldığını ortaya koydu. Bu faaliyetler Çin, Pakistan, Rusya ve ABD’deki kurbanları hedef almak için kullanıldı
MacroPack Tarafından Oluşturulan Kötü Amaçlı Yazılım Yükleri
Cisco Talos’taki araştırmacılar, her biri farklı cazibe temaları ve yükleri içeren, MacroPack tarafından oluşturulan belgelerin birkaç kümesini keşfetti.
İlk küme, kullanıcılara kötü amaçlı makroların yürütülmesine izin verecek içeriği etkinleştirmeleri talimatını veren genel Word belgelerini içeriyordu. Çin, Tayvan ve Pakistan’dan yüklenen bu belgeler, Havoc istismar sonrası çerçevesini son yük olarak sundu.
Havoc, penetrasyon test uzmanları ve kırmızı takımlar tarafından kullanılan ücretsiz, açık kaynaklı bir araçtır. Ancak, tehdit aktörleri bunu kötü amaçlı amaçlar için de kötüye kullanmıştır. Havoc implantları veya ‘şeytanlar’, saldırganların etkilenen sistemleri uzaktan kontrol etmelerine olanak tanır.
Pakistan’dan yüklenen ikinci belge kümesinde, Pakistan Hava Kuvvetleri subaylarına ödülleri duyuran bir sirküler gibi askeri temalı cazibeler vardı. Bu belgeler, gerçek tehdit aktörleri tarafından benimsenen bir diğer popüler kırmızı takım çerçevesi olan Brute Ratel’i sundu.
Brute Ratel, uzaktan komut yürütme, yanal hareket, kalıcılık ve uç nokta güvenlik çözümlerinden kaçınma dahil olmak üzere çok çeşitli kötü amaçlı etkinliklere olanak tanır. Brute Ratel yükleri, komut ve kontrol iletişimleri için HTTPS üzerinden DNS ve Amazon CloudFront CDN sunucularını kullandı.
Bulanıklaştırma Teknikleri
MacroPack tarafından oluşturulan belgelerin dikkat çekici bir yönü, dört kötü amaçlı olmayan VBA alt rutininin dahil edilmesiydi. VBA örneklerine ve bir Fransız Microsoft Word programlama kitabına ev sahipliği yapan bir web sitesine kadar uzanan bu iyi huylu işlevler, muhtemelen kodun genel entropisini düşürmek ve sezgisel tabanlı algılamayı atlatmak için dahil edilmişti.
Düşük entropili kötü amaçlı olmayan işlevlerin dahil edilmesi, üretilen kodun genel entropisini düşürmek için olabilir. MacroPack yazarı ayrıca, Markov zincirlerini kullanarak işlev ve değişken adları üretmek için bir özellik uyguladı ve tespitten daha fazla kaçınmak için görünüşte anlamlı adlar oluşturdu.
Bu örneklerde gözlemlenen taktikler, teknikler ve prosedürler (TTP’ler) açıkça kötü niyetli olsa da araştırmacılar, faaliyetleri tek bir tehdit aktörüne bağlayamadı ve en azından belgelerin bir kısmının gerçek dünya saldırıları yerine kırmızı takım egzersizlerini temsil etmiş olma olasılığını dışlamadı.
Araştırmacılar, keşfedilen örneklerle ilgili tehlike göstergelerini (IOC) paylaşırken, bunlardan bazıları meşru kırmızı takım faaliyetlerinin parçası olma ihtimali nedeniyle rapordan çıkarıldı.