Secondo recenti scoperte di Cisco Talos, attori malevoli stanno utilizzando un tool progettato per esercizi di red teaming al fine di distribuire malware. Questo strumento, noto come MacroPack, è un framework di generazione di payload utilizzato per creare documenti Office, script Visual Basic, scorciatoie di Windows e altri formati per test di penetrazione e valutazioni di ingegneria sociale. Sviluppato dal francese Emeric Nasi, MacroPack è stato identificato come il mezzo attraverso il quale vengono distribuiti vari payload dannosi come Havoc, Brute Ratel e una nuova variante di PhantomCore, un trojan di accesso remoto (RAT) attribuito a un gruppo di hacktivisti chiamato Head Mare.

Cisco Talos ha rilevato artefatti caricati su VirusTotal provenienti da Cina, Pakistan, Russia e Stati Uniti, tutti generati con MacroPack e utilizzati per distribuire i suddetti payload. Un elemento comune in tutti i documenti dannosi analizzati è la presenza di quattro subroutine VBA non dannose, che non erano offuscate e non erano mai state utilizzate da altre subroutine dannose. Queste subroutine rappresentano un indicatore significativo della presenza di MacroPack nei documenti analizzati.

Temi di attrazione

I temi di attrazione di questi documenti sono vari e spaziano da argomenti generici che istruiscono gli utenti ad abilitare le macro a documenti dall'aspetto ufficiale che sembrano provenire da organizzazioni militari. Questo suggerisce il coinvolgimento di diversi attori di minacce. Alcuni documenti sfruttano funzionalità avanzate offerte da MacroPack per bypassare le rilevazioni euristiche dei malware, nascondendo la funzionalità dannosa utilizzando catene di Markov per creare funzioni e nomi di variabili apparentemente significativi.

Catene di attacco

Le catene di attacco osservate tra maggio e luglio 2024 seguono un processo in tre fasi: invio di un documento Office truccato contenente codice VBA di MacroPack, decodifica di un payload di fase successiva e, infine, esecuzione del malware finale. Questo sviluppo indica che gli attori delle minacce stanno costantemente aggiornando le loro tattiche in risposta alle interruzioni e adottando approcci più sofisticati per l'esecuzione del codice.

La scoperta di queste tecniche sottolinea l'importanza di una vigilanza continua e di un aggiornamento costante delle difese contro le minacce informatiche. Gli esperti di sicurezza devono rimanere all'avanguardia per riconoscere e mitigare l'uso di strumenti come MacroPack, che possono essere facilmente adattati per scopi malevoli. Il monitoraggio delle nuove varianti di malware e delle loro modalità di distribuzione è cruciale per proteggere le infrastrutture digitali da attacchi sempre più complessi e mirati.