Según nuevos hallazgos de Cisco Talos, actores maliciosos están utilizando una herramienta diseñada para ejercicios de red teaming para propagar malware.
El programa en cuestión es un marco de generación de payloads llamado MacroPack, utilizado para crear documentos de Office, scripts de Visual Basic, accesos directos de Windows y otros formatos para pruebas de penetración y evaluaciones de ingeniería social. Fue desarrollado por el programador francés Emeric Nasi.
Ciberseguridad
La empresa de ciberseguridad señaló que encontró artefactos subidos a VirusTotal desde China, Pakistán, Rusia y EE. UU., todos generados con MacroPack y utilizados para distribuir diferentes payloads, como Havoc, Brute Ratel y una nueva variante de PhantomCore, un troyano de acceso remoto (RAT) atribuido a un grupo hacktivista llamado Head Mare.
“Una característica común en todos los documentos maliciosos que analizamos y que llamó nuestra atención es la existencia de cuatro subrutinas VBA no maliciosas”, dijo el investigador de Talos, Vanja Svajcer.
“Estas subrutinas aparecían en todas las muestras y no estaban ofuscadas. Tampoco habían sido usadas por otras subrutinas maliciosas ni en otros documentos.”
Un aspecto importante a destacar es que los temas de señuelo en estos documentos son variados, desde temas genéricos que instruyen a los usuarios a habilitar macros hasta documentos con apariencia oficial provenientes de organizaciones militares. Esto sugiere la participación de distintos actores maliciosos.
También se ha observado que algunos de estos documentos aprovechan características avanzadas ofrecidas por MacroPack para evadir las detecciones heurísticas de anti-malware, ocultando la funcionalidad maliciosa mediante cadenas de Markov para crear funciones y nombres de variables aparentemente significativos.
Ciberseguridad
Las cadenas de ataque, observadas entre mayo y julio de 2024, siguen un proceso de tres pasos que implica enviar un documento de Office trampa que contiene código VBA de MacroPack, que luego descodifica un payload de la siguiente etapa para finalmente obtener y ejecutar el malware final.
Este desarrollo es una señal de que los actores maliciosos están actualizando constantemente sus tácticas en respuesta a interrupciones y adoptando enfoques más sofisticados para la ejecución de código.
English
Threat actors are now reportedly using a tool originally designed for red teaming exercises to distribute malware, according to recent findings from Cisco Talos.
The tool in question is MacroPack, a payload generation framework used to create Office documents, Visual Basic scripts, Windows shortcuts, and other formats for penetration testing and social engineering assessments. It was developed by French programmer Emeric Nasi.
Cybersecurity
The cybersecurity firm reported that it discovered artifacts uploaded to VirusTotal from China, Pakistan, Russia, and the U.S., all generated by MacroPack and used to deliver payloads such as Havoc, Brute Ratel, and a new variant of PhantomCore—a remote access trojan (RAT) linked to a hacktivist group named Head Mare.
“A standout feature in all the malicious documents we analyzed was the presence of four non-malicious VBA subroutines,” said Talos researcher Vanja Svajcer.
“These subroutines appeared consistently in all samples, were not obfuscated, and had never been used by any other malicious subroutines or in any other documents.”
Notably, the lure themes of these documents are varied, ranging from generic topics urging users to enable macros to more official-looking documents, supposedly from military organizations. This suggests the involvement of distinct threat actors.
Some documents have also taken advantage of advanced features provided by MacroPack to bypass anti-malware heuristic detections by disguising malicious functionality with Markov chains to create seemingly meaningful functions and variable names.
Cybersecurity
The attack chains observed between May and July 2024 follow a three-step process: sending a malicious Office document embedded with MacroPack VBA code, which then decodes a second-stage payload that ultimately fetches and executes the final malware.
This development signals that threat actors are continuously evolving their tactics to respond to disruptions and are adopting more sophisticated approaches to code execution.
En seguridad informática referida a amenazas de tipo exploit, payload es la parte del código del malware que realiza la acción maliciosa en el sistema, como borrar los ficheros o enviar datos al exterior, frente a la parte del encargado de aprovechar una vulnerabilidad (el exploit) que permite ejecutar el payload.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.