Kybernetičtí zločinci mohli zneužít nástroj MacroPack, který je určen pro red teaming, k distribuci škodlivých payloadů, jako jsou nástroje Brute Ratel a Havoc, a také novou variantu trojského koně PhantomCore. MacroPack je bezplatný, open-source nástroj, který používají penetrační testeři a red týmy, avšak byl také zneužit pro škodlivé účely. Payloady Brute Ratel využívaly DNS přes HTTPS a servery Amazon CloudFront CDN pro komunikaci s příkazovým a kontrolním centrem. Tyto benigní funkce, které byly sledovány zpět na webovou stránku hostující příklady VBA a francouzskou knihu o programování v Microsoft Word, pravděpodobně sloužily k snížení celkové entropie kódu a obcházení detekce založené na heuristice. I když byly taktiky, techniky a postupy (TTP) pozorované v těchto vzorcích jasně škodlivé, výzkumníci nebyli schopni připsat tyto aktivity konkrétnímu útočníkovi a nevyloučili možnost, že některé dokumenty mohly představovat red teamingové cvičení, nikoli skutečné útoky.
Zdroj: Threat Actors Exploited MacroPack To Deploy Dangerous Payloads
