Havoc und Brute Ratel sind Instruments, die für Penetrationstester entwickelt wurden, heißt es in dem Bericht. Instruments, die für Tester und Verteidiger entwickelt wurden, werden jedoch regelmäßig von Bedrohungsakteuren eingesetzt. Das beste Beispiel dafür ist das Software Cobalt Strike.
Ein gemeinsames Merkmal aller bösartigen Dokumente, die Cisco Talos auseinandergenommen hat, ist das Vorhandensein von vier nicht-bösartigen VBA-Unterprogrammen. Diese Unterroutinen kamen in allen Beispielen vor und waren nicht verschleiert. “Die Einbeziehung des gutartigen Codes dürfte den Verdacht auf den von MacroPack generierten Code verringern”, vermuten die Talos-Forscher.
Handelt es sich um eine neue Malware-Kampagne eines Bedrohungsakteurs? MacroPack ist ein Framework, das für Pink Groups entwickelt wurde, um die Verteidigungsmaßnahmen von Unternehmen zu testen. In der Tat konnten die Forscher bestätigen, dass einige der Beispiele Teil von Pink Workforce-Aktivitäten waren. Andere enthielten jedoch bestimmte Taktiken und Techniken, die bösartig erscheinen.
