Исследователи из Cisco Talos обнаружили серию вредоносных документов Microsoft Office, загруженных на VirusTotal в период с мая по июль 2024 года. Эти документы были созданы с помощью «MacroPack», инструмента, разработанного для учений Red Team, но также используемого злоумышленниками.
В документах были развернуты различные полезные нагрузки, включая фреймворки Havoc и Brute Ratel, а также новая версия трояна удаленного доступа PhantomCore (также называемого PhanomRAT). Несмотря на схожесть методов, Talos не смогла связать эти действия с одним субъектом. В документах использовались различные тематические приманки: типовые документы на китайском и английском языках, в которых пользователям предлагалось включить контент, документы на военную тематику из Пакистана и пустые рабочие книги Excel из России.
Документы, сгенерированные MacroPack, использовали обфусцированные макросы VBA и включали не вредоносный код, чтобы избежать обнаружения. Некоторые образцы оказались связаны с упражнениями Red Team, что усложнило задачу атрибуции. Профессиональная версия MacroPack предлагает расширенные возможности, такие как уклонение от защиты от вредоносного ПО и более устойчивые полезные нагрузки, что делает ее универсальным, но потенциально опасным инструментом. Несмотря на наличие доброкачественного кода, снижающего вероятность обнаружения, MacroPack может быть использован злоумышленниками в злонамеренных целях.
Indicators of Compromise
Domains
- api.wilbderreis.ru
- dns1.s-logistics.net
- dns2.s-logistics.net
URLs
- http://122.114.10.239/edcvfr
- http://122.114.10.239/qazxsw
- http://122.114.166.92/Collectors/3.0/settings/mail
- http://td.tula-steel.ru/en/image.jpg
- https://122.114.141.214/qq.com/ab735a258a90e8e1f3e3dcf231bf53a9/mail
- https://d1209brpqetpa4.cloudfront.net/HubsExtension/Browse/resourceType/id.php
- https://d1209brpqetpa4.cloudfront.net/HubsExtension/Resource/Type/c8d984.php
- https://d2v6ycjbdzo6ui.cloudfront.net/HubsExtension/Browse/resourceType/id.php
- https://d2v6ycjbdzo6ui.cloudfront.net/HubsExtension/Resource/Type/c8d984.php
- https://d2wpc9lcvgj680.cloudfront.net//HubsExtension/Resource/Type/c8d984.php
- https://d2wpc9lcvgj680.cloudfront.net/HubsExtension/Browse/resourceType/id.php
- https://d2z6sfzo660xrm.cloudfront.net/HubsExtension/Browse/resourceType/id.php
- https://d2z6sfzo660xrm.cloudfront.net/HubsExtension/Resource/Type/c8d984.php
- https://d3qrqtfazjdt5i.cloudfront.net/HubsExtension/Browse/resourceType/id.php
- https://d3qrqtfazjdt5i.cloudfront.net/HubsExtension/Resource/Type/c8d984.php
- https://share.dedesignanddev.com/datadoc
SHA256
- 0cf1e59bae9dba7fbbf6ee6a36ca6bdb8fa0ac002b8cf824bd0888789a981c57
- 2131de0cb705afa52f88ef70a87ee6c8662d38db0138efc4940218ee62d8a296
- 2c0a66c6370b4aa88ab3805d520e868cbc513b43119958257a72c9ff58ef241c
- 80731db97c33b50cd3d8727decec7e6a12bbf5f671527648c4cbb559fabc3074
- 93df1d60edd6b656b08e0fc0d31b330fd275f5e1a9069dfbb769e7ba217fcb6e
- b5608e73eb460944d9b523a940d94c95d3eb66d6a8efe82462e2589ccfaadb82
- cbafcf65b40d95e4699859a523ef4d300c57f93de6fbc6e194d1b922e9f3aba6
- e1ee389b2af2d3a0eff4aa14f2ac3de6cdd4a73de80b5d450a44ec69cd332dbf
