広がるMacroPack

MacroPackはレッドチームの演習用に設計されたフレームワークです。
レッドチームは、ある組織のセキュリティの脆弱性を検証するためなどの目的で設置された、その組織とは独立したチームのことです。
実際のサイバー攻撃と同様のシミュレーションの実施するレッドチームは、サイバーセキュリティ・レジリエンス（回復力）の向上に有効です。
こういった取り組みに利用される仕組みが、本来の目的とは異なる用途で利用されている例が確認されています。

• MacroPack
  MacroPackは、ペンテスト、デモ、ソーシャルエンジニアリング評価用のOfficeドキュメント、VBスクリプト、ショートカット、その他の形式の難読化と生成を自動化するために使用されるツールです。
  エクスプロイトを簡素化し、マルウェア対策をバイパスし、悪意のあるマクロとスクリプトの生成から最終的なドキュメントの生成までのプロセスを自動化することができます。
  高機能なPro版とCommunity版があり、Community版はGitHubで無償で公開されていますが、最近はメンテナンスはされていません。
  このMacroPackのPro版は、あくまでも、レッドチームをターゲットとした製品となっていますが、その機能内容を考えると、脅威アクターにとっても十分に魅力的な内容となっています。
  いくつか見てみるだけでも、高度なマルウェア対策バイパス、複数のシェルコード注入方法、EXCELマクロのサポート、コマンドライン難読化(Dosfuscation)、自己解凍VBA/VBSペイロード、Officeドキュメントのトロイの木馬化、リバースエンジニアリング対策、サンドボックス検出、といった具合です。
• 複数の脅威アクターが利用を開始しているMacroPack
  いくつもの国や地域で類似性のある脅威活動が確認されています。
  これらの活動では、武器化されたOfficeドキュメントが使用されていました。
  これらの活動は、状況からして、複数の脅威アクターによる活動であると考えられます。
  武器化されたドキュメントを詳細に確認すると、複数の異なる脅威活動で使われていたドキュメントの武器化部分の構造に共通性があることが分かりました。
  調査の結果、この部分を生成しているのはMacroPack Proであると判明しました。
• 4つのクラスター
  いくつもの場所で起こっている脅威ですが、これらは4つのクラスターに分類されることが見えてきました。
  4つは、中国、パキスタン、ロシア、米国、です。
• MacroPackの後工程
  MacroPackは、脅威活動の最初のほうの手順で使用されます。
  MacroPackの動作により、後続の攻撃ツールが送り込まれます。
  Havoc、Brute Ratel、PhantomCoreなどの、複数のペイロードを配信します。
  Havocは、オープンソースのC2フレームワークです。
  Brute Ratelは、ペンテスト・敵対的攻撃シミュレーションツールです。
  PhantomCoreは、リモートアクセストロイです。
  MacroPackによってこっそりと設置された攻撃ツールは、静かに活動を開始します。

Cobalt Strikeもそうですが、有用なレッドチーム向けソフトウェアは、諸刃の剣となってしまう場合があります。
この領域では頻繁にイタチごっこに見える状況が発生しますが、なんとなく、いつも攻撃側にリードされてしまっている感じがします。

Threat actors using MacroPack to deploy Brute Ratel, Havoc and PhantomCore payloads

https://blog.talosintelligence.com/threat-actors-using-macropack/