Menurut temuan baru dari Cisco Talos, pelaku ancaman kemungkinan menggunakan alat yang ditujukan untuk latihan tim merah guna menyebarkan malware.
Program yang dimaksud adalah kerangka kerja pembangkit muatan yang disebut MacroPack, yang digunakan untuk menghasilkan dokumen Office, skrip Visual Basic, pintasan Windows, dan format lain untuk pengujian penetrasi dan penilaian rekayasa sosial. Program ini dikembangkan oleh pengembang Prancis Emeric Nasi.
Perusahaan keamanan siber itu mengatakan pihaknya menemukan artefak yang diunggah ke VirusTotal dari China, Pakistan, Rusia, dan AS yang semuanya dibuat oleh MacroPack dan digunakan untuk mengirimkan berbagai muatan seperti Havoc, Brute Ratel, dan varian baru PhantomCore, trojan akses jarak jauh (RAT) yang dikaitkan dengan kelompok peretas bernama Head Mare.
“Ciri umum dalam semua dokumen berbahaya yang kami bedah dan menarik perhatian kami adalah keberadaan empat subrutin VBA yang tidak berbahaya,” kata peneliti Talos Vanja Svajcer.
“Subrutin ini muncul di semua sampel dan tidak dikaburkan. Subrutin ini juga tidak pernah digunakan oleh subrutin jahat lainnya atau di tempat lain dalam dokumen apa pun.”
Aspek penting yang perlu diperhatikan di sini adalah bahwa tema-tema yang memikat yang mencakup dokumen-dokumen ini bervariasi, mulai dari topik-topik umum yang menginstruksikan pengguna untuk mengaktifkan makro hingga dokumen-dokumen yang tampak resmi yang tampaknya berasal dari organisasi-organisasi militer. Hal ini menunjukkan keterlibatan aktor-aktor ancaman yang berbeda.
Beberapa dokumen juga telah diamati memanfaatkan fitur-fitur canggih yang ditawarkan sebagai bagian dari MacroPack untuk melewati deteksi heuristik anti-malware dengan menyembunyikan fungsionalitas berbahaya menggunakan rantai Markov untuk membuat fungsi dan nama variabel yang tampaknya bermakna.
Rangkaian serangan, yang diamati antara bulan Mei dan Juli 2024, mengikuti proses tiga langkah yang mencakup pengiriman dokumen Office berisi jebakan yang berisi kode MacroPack VBA, yang kemudian mendekode muatan tahap berikutnya untuk akhirnya mengambil dan mengeksekusi malware final.
Perkembangan ini merupakan tanda bahwa aktor ancaman terus memperbarui taktik dalam menanggapi gangguan dan mengambil pendekatan yang lebih canggih terhadap eksekusi kode.