One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8571370 |
| Date de publication | 2024-09-06 15:22:05 (vue: 2024-09-06 16:18:14) |
| Titre | Les acteurs de menace utilisant MacRopack pour déployer des charges utiles Brute Ratel, Havoc et Phantomcore Threat actors using MacroPack to deploy Brute Ratel, Havoc and PhantomCore payloads |
| Texte | ## Instantané
Des chercheurs de Cisco Talos ont découvert une série de documents malveillants Microsoft Office téléchargés sur Virustotal entre mai et juillet 2024. Ces documents ont été créés à l'aide de "Macropack", un outil conçu pour les exercices d'équipe rouge mais également exploités par des acteurs malveillants.
## Description
Les documents ont déployé diverses charges utiles, y compris les Havoc et [Brute Ratel] (https://security.microsoft.com/intel-profiles/A09B8112881D2DEAD66C1B277C92AC586D9791E60B3B284F303439A18D91786) Trojan (également appelé Phanomrat).Malgré des similitudes dans les techniques, Talos ne pouvait pas lier ces activités à un seul acteur.Les documents comportaient différents leurres thématiques: des documents génériques en chinois et en anglais demandant aux utilisateurs d'activer le contenu, des documents sur le thème militaire du Pakistan et des cahiers d'Excel vides de Russie.
Les documents générés par des macropacks ont utilisé des macros VBA obscurcis et incluaient du code non malveillant pour échapper à la détection.Certains échantillons sont apparus liés aux exercices d'équipe rouge, ajoutant de la complexité aux efforts d'attribution.La version professionnelle de MacRopack propose des fonctionnalités avancées, telles que l'évasion anti-malware et les charges utiles plus résilientes, ce qui en fait un outil polyvalent mais potentiellement dangereux.Malgré la présence d'un code bénin pour réduire la détection, Macropack peut être exploité par les acteurs de la menace à des fins malveillantes.
## Détections / requêtes de chasse
### Microsoft Defender Antivirus
Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant:
- [Backdoor: win64 / bruteratel.a] (https://www.microsoft.com/en-us/wdsi/Threats/Malware-encyClopedia-Description?name=backDoor:win64/Bruteratel.a& ;theatid=-2147134800?ocid = magicti_ta_ency)
### Microsoft Defender pour le point de terminaison
Les alertes avec les titres suivants dans le centre de sécurité peuvent indiquer une activité de menace sur votre réseau:
- Comportement lié à la boîte à outils Brute Ratel
## références
[Les acteurs de la menace utilisant MacRopack pour déployer des charges utiles Brute Ratel, Havoc et Phantomcore] (https://blog.talosintelligence.com/thereat-actors-using-macropack/).Cisco Talos (consulté en 2024-09-06)
## Copyright
**&copie;Microsoft 2024 **.Tous droits réservés.La reproduction ou la distribution du contenu de ce site, ou de toute partie de celle-ci, sans l'autorisation écrite de Microsoft est interdite.
## Snapshot Researchers at Cisco Talos discovered a series of malicious Microsoft Office documents uploaded to VirusTotal between May and July 2024. These documents were created using "MacroPack," a tool designed for Red Team exercises but also exploited by malicious actors. ## Description The documents deployed various payloads, including the Havoc and [Brute Ratel](https://security.microsoft.com/intel-profiles/a09b8112881d2dead66c1b277c92ac586d9791e60b3b284ef303439a18d91786) frameworks, and a new version of the PhantomCore remote access trojan (also called PhanomRAT). Despite similarities in techniques, Talos could not link these activities to a single actor. The documents featured different themed lures: generic documents in Chinese and English instructing users to enable content, military-themed documents from Pakistan, and empty Excel workbooks from Russia. MacroPack-generated documents utilized obfuscated VBA macros and included non-malicious code to evade detection. Some samples appeared linked to Red Team exercises, adding complexity to attribution efforts. The professional version of MacroPack offers advanced features, such as anti-malware evasion and more resilient payloads, making it a versatile yet potentially dangerous tool. Despite the presence of benign code to reduce detection, MacroPa |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | ### **© 2024 2024** 2147134800 a&threatid= access accessed activities activity actor actors adding advanced alerts all also anti antivirus antivirus any appeared attribution backdoor:win64/bruteratel behavior benign between brute but called can center chinese cisco code com/en com/intel com/threat complexity components content copyright could created dangerous defender deploy deployed description designed despite detection detections/hunting detects different discovered distribution documents efforts empty enable ency encyclopedia endpoint english evade evasion excel exercises exploited featured features following frameworks from generated generic havoc https://blog https://security https://www included including indicate instructing july leveraged link linked lures: macropack macropack/ macros making malicious malware malware: may microsoft military more name=backdoor:win64/bruteratel network: new non not obfuscated ocid=magicti offers office pakistan part payloads permission phanomrat phantomcore potentially presence professional profiles/a09b8112881d2dead66c1b277c92ac586d9791e60b3b284ef303439a18d91786 prohibited purposes queries ratel red reduce references related remote reproduction researchers reserved resilient rights russia samples security series similarities single site snapshot some such talos talosintelligence team techniques themed thereof these threat titles tool toolkit trojan uploaded us/wdsi/threats/malware users using utilized various vba versatile version virustotal without workbooks written yet your |
| Tags | Malware Tool Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.