骇客将防守方用来强化资安的工具,拿来用于攻击行动,最常见的莫过于渗透测试工具Cobalt Strike,后来也出现利用Brute Ratel C4的事故,如今有人开始利用新的工具从事攻击。
思科旗下威胁情报团队Talos指出,他们在今年5月至7月,在恶意软体分析平台VirusTotal看到数个Office档案,研究人员指出,他们在看到前述的VirusTotal档案当中,VBA程式码具备类似的特征,例如:都具备4个未经过混淆处理、无害的VBA子程式,循线调查确认,这些档案皆由MacroPack产生。值得留意的是,他们也提及该框架产生的档案,会更动功能及参数名称,并移除注解与多余的空格,然后经过混淆处理,导致察觉这些档案有害变得更为困难。
而对于攻击者的身分,研究人员起初认为仅有一组人马滥用MacroPack,但他们发现VirusTotal的档案来自多个国家,推测已有多组骇客利用这项框架。
他们总共归纳出4起攻击行动,其中一起范围涵盖台湾、中国、巴基斯坦而相当受到注意,骇客借此散布Havoc和Brute Ratel C4有效负载,而这些恶意程式会连往位于中国河南的C2伺服器。
另一起针对巴基斯坦的攻击行动,骇客也是散布Brute Ratel C4,但特别的是,他们滥用了DNS over HTTPS(DOH)及Amazon CloudFront。
也有骇客用于攻击俄罗斯、美国。针对俄罗斯的部分,攻击者企图散布Go语言打造的后门程式PhantomCore;对于发生在美国的攻击事故,骇客执行多阶段VBA程式码,并在滥用mshta.exe下载有效酬载之前,确认是否存在于沙箱环境。
值得留意的是,美国这波攻击行动可追溯到2023年3月,这代表骇客滥用MacroPack的时间已超过一年半。