Επιχείρηση κατάργησης της συμμορίας Doppelgänger
12 Σεπτεμβρίου, 2024Zyxel: Κυκλοφόρησε ενημερώσεις λογισμικού για κρίσιμη ευπάθεια
16 Σεπτεμβρίου, 2024Η Cisco Talos ανακάλυψε πρόσφατα ότι οι παράγοντες απειλών ενδέχεται να χρησιμοποιούν το MacroPack, ένα πλαίσιο δημιουργίας payload, προκειμένου να διανείμουν κακόβουλο λογισμικό.
Αυτό το εργαλείο, που ανέπτυξε ο Γάλλος προγραμματιστής Emeric Nasi, δημιουργεί διάφορους τύπους αρχείων, συμπεριλαμβανομένων εγγράφων του Office, Visual Basic scripts και συντομεύσεων Windows, κυρίως για penetration testing και κοινωνική μηχανική (social engineering).
Η Talos εντόπισε αντικείμενα που ανέβηκαν στο VirusTotal από χώρες όπως η Κίνα, το Πακιστάν, η Ρωσία και οι ΗΠΑ, όλα δημιουργημένα από το MacroPack. Αυτά τα αντικείμενα χρησιμοποιήθηκαν για την ανάπτυξη κακόβουλου λογισμικού, όπως το Havoc, το Brute Ratel και μια νέα παραλλαγή του PhantomCore RAT, η οποία συνδέεται με τη συμμορία hacktivist Head.
Συγκεκριμένα, τα κακόβουλα έγγραφα που αναλύθηκαν, περιλάμβαναν τέσσερις μη κακόβουλες VBA υπορουτίνες, οι οποίες ήταν παρούσες σε όλα τα δείγματα χωρίς να έχει γίνει απόκρυψη, υποδεικνύοντας μια μοναδική στρατηγική κωδικοποίησης. Τα θέματα δέλεαρ περιλάμβαναν από γενικές προτροπές που ενθάρρυναν τους χρήστες να ενεργοποιήσουν τις μακροεντολές έως έγγραφα που φαίνονταν να προέρχονται από επίσημους στρατιωτικούς οργανισμούς, υποδηλώνοντας την εμπλοκή διαφόρων παραγόντων απειλής.
Επιπλέον, ορισμένα έγγραφα εκμεταλλεύτηκαν τις προηγμένες δυνατότητες του MacroPack για να αποφύγουν την ανίχνευση κακόβουλου λογισμικού, συγκαλύπτοντας κακόβουλες λειτουργίες με τη χρήση Markov chains, δημιουργώντας έτσι έναν φαινομενικά νόμιμο κώδικα.
Οι επιθέσεις που παρατηρήθηκαν εκδηλώθηκαν σε αλυσίδες μεταξύ Μαΐου και Ιουλίου 2024 και ακολουθούν μια συγκεκριμένη διαδικασία: παραδίδεται ένα παραβιασμένο έγγραφο του Office με κωδικοποίηση MacroPack, το οποίο αποκωδικοποιεί ένα ωφέλιμο φορτίο (payload) για να ανακτήσει και να εκτελέσει το τελικό κακόβουλο λογισμικό. Αυτό ότι οι φορείς απειλών συνεχώς προσαρμόζουν τις τακτικές τους και υιοθετούν πιο εξελιγμένες μεθόδους εκτέλεσης κώδικα, προκειμένου να ανταγωνιστούν τις προκλήσεις της κυβερνοασφάλειας.