Kerangka kerja MacroPack, yang awalnya dirancang untuk latihan Red Team, disalahgunakan oleh pelaku ancaman untuk menyebarkan muatan berbahaya, termasuk Havoc, Brute Ratel, dan PhatomCore.
Peneliti keamanan di Cisco Talos telah menganalisis pengiriman dokumen berbahaya di VirusTotal dari berbagai negara, termasuk Amerika Serikat, Rusia, China, dan Pakistan.
Dokumen-dokumen ini bervariasi dalam daya tarik, kecanggihan, dan vektor infeksinya, yang menunjukkan bahwa MacroPack disalahgunakan oleh banyak aktor ancaman, yang menandakan adanya tren potensial.
Pembuatan muatan MacroPack
MacroPack adalah alat milik perusahaan yang berfokus pada latihan Tim Merah dan simulasi musuh, yang dibuat oleh pengembang Prancis Emeric Nasi (dba Kit Ballis).
Itu menawarkan fitur lanjutan seperti anti-malware bypass, teknik anti-reversing, dan kemampuan untuk membangun berbagai muatan dokumen dengan pengaburan kode dan menanamkan skrip VB yang tidak terdeteksi.
Sumber: Cisco
Ada juga yang “lite” versi sumber terbuka disebut MacroPack Community, yang tidak lagi dikelola.
Cisco melaporkan telah menangkap banyak contoh dokumen di luar sana yang menunjukkan bahwa dokumen tersebut dibuat di MacroPack, termasuk penggantian nama fungsi dan variabel berbasis rantai Markov, penghapusan komentar dan karakter spasi berlebih yang meminimalkan tingkat deteksi analisis statis, dan pengodean string.
Karakteristik yang mencolok pada semua dokumen tersebut yang mengindikasikan bahwa dokumen-dokumen tersebut dibuat di MacroPack Pro adalah keberadaan empat subrutin VBA yang tidak berbahaya, yang menurut para peneliti telah mereka konfirmasi telah ditambahkan oleh versi profesional dari kerangka kerja tersebut.
Sumber: Cisco
Korban yang membuka dokumen Microsoft Office ini akan memicu kode VBA tahap pertama, yang memuat DLL berbahaya yang terhubung ke server perintah dan kontrol (C2) penyerang.
Sumber: Cisco
Dokumen di alam liar
Laporan Cisco Talos mengidentifikasi empat kelompok aktivitas berbahaya yang signifikan terkait dengan penyalahgunaan MacroPack, yang dirangkum sebagai berikut:
- Cina: Dokumen dari alamat IP di Tiongkok, Taiwan, dan Pakistan (Mei-Juli 2024) menginstruksikan pengguna untuk mengaktifkan makro, yang mengirimkan muatan Havoc dan Brute Ratel. Muatan ini terhubung ke server C2 yang berlokasi di Henan, Tiongkok (AS4837).
- Bahasa Indonesia: Pakistan: Dokumen bertema militer Pakistan diunggah dari beberapa lokasi di Pakistan. Satu dokumen, yang menyamar sebagai surat edaran dari Angkatan Udara Pakistan, dan satu lagi sebagai konfirmasi pekerjaan, menggunakan Brute Ratel. Dokumen tersebut dikomunikasikan menggunakan DNS melalui HTTPS dan Amazon CloudFront, dengan satu dokumen menyematkan blob berkode base64 untuk pelacakan Adobe Experience Cloud.
- Rusia: Buku kerja Excel kosong yang diunggah dari IP Rusia pada bulan Juli 2024 mengirimkan PhantomCore, backdoor berbasis Golang yang digunakan untuk spionase. Dokumen tersebut menjalankan kode VBA multi-tahap, yang mencoba mengunduh backdoor dari URL jarak jauh.
- KITA: Sebuah dokumen yang diunggah pada bulan Maret 2023 menyamar sebagai formulir pembaruan NMLS terenkripsi dan menggunakan nama fungsi yang dihasilkan Markov Chain untuk menghindari deteksi. Dokumen tersebut berisi kode VBA multi-tahap, yang memeriksa lingkungan sandbox sebelum mencoba mengunduh muatan yang tidak diketahui melalui mshta.exe.
Sumber: Cisco
Brute Ratel adalah kerangka kerja serangan pasca-eksploitasi yang digunakan para peretas sebagai alternatif Cobalt Strike sejak pertengahan tahun 2022.
Kelompok ransomware juga terlihat menggunakan versi retak dari alat untuk menghindari EDR dan AV selama serangan.
Penyalahgunaan MacroPack menambah lapisan siluman lain pada serangan ini dan merupakan perkembangan yang mengkhawatirkan bagi para pembela.
BleepingComputer telah menghubungi Emeric Nasi tentang pelecehan yang diamati, tetapi kami belum menerima respons.
