Neue bösartige MS Office-Makro-Cluster entdeckt
Havoc und Brute Ratel sind Tools, die für Penetrationstester entwickelt wurden, heißt es in dem Bericht. Tools, die für Tester und Verteidiger entwickelt wurden, werden jedoch regelmäßig von Bedrohungsakteuren eingesetzt. Das beste Beispiel dafür ist das Tool Cobalt Strike.
Ein gemeinsames Merkmal aller bösartigen Dokumente, die Cisco Talos auseinandergenommen hat, ist das Vorhandensein von vier nicht-bösartigen VBA-Unterprogrammen. Diese Unterroutinen kamen in allen Beispielen vor und waren nicht verschleiert. “Die Einbeziehung des gutartigen Codes dürfte den Verdacht auf den von MacroPack generierten Code verringern”, vermuten die Talos-Forscher.
Handelt es sich um eine neue Malware-Kampagne eines Bedrohungsakteurs? MacroPack ist ein Framework, das für Red Teams entwickelt wurde, um die Verteidigungsmaßnahmen von Unternehmen zu testen. In der Tat konnten die Forscher bestätigen, dass einige der Beispiele Teil von Red Team-Aktivitäten waren. Andere enthielten jedoch bestimmte Taktiken und Techniken, die bösartig erscheinen.