APOMacroSploit - конструктор вредоносных программ Office, который был замешан в многочисленных вредоносных электронных письмах, направленных более чем 80 клиентам по всему миру. Этот инструмент включает функции для обхода обнаружения Windows Defender и ежедневно обновляется для обеспечения низкого уровня обнаружения. Заражение вредоносным ПО начинается, когда включается динамическое содержимое прикрепленного XLS-документа, и макрос XLM автоматически запускает загрузку командного сценария системы Windows.
APOMacroSploit
APOMacroSploit - это генератор макро-эксплойтов, позволяющий пользователю создать XLS-файл, который обходит AVs, Windows Defender, обходит AMSIs, Gmail и другие почтовые фишинговые обнаружения, и многое другое.
Этот инструмент имеет опцию "WD disabler", которая отключает Windows Defender на целевой машине перед выполнением полезной нагрузки, и опцию "WD exclusion", которая добавляет файл в Windows Defender, чтобы он также мог обойти WD.
Пример цепочки заражения использования APOMacroSploit компанией Mic12
Indicators of Compromise
IPv4
- 185.157.161.109
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые APOMacroSploit.
| ID | Техника | CWE | Описание | Доверие |
| 1 | T1592 | CWE-200 | Настройка | Высокий |
