Operazione MacroMaze: nuova campagna APT28 che utilizza strumenti di base e infrastruttura legittima
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
APT28 (Fancy Bear) ha condotto un’operazione di spear-phishing denominata Operazione MacroMaze, prendendo di mira organizzazioni in Europa occidentale e centrale. L’esca utilizzava documenti Word con macro dannose che scaricavano script aggiuntivi e trasferivano i dati rubati attraverso servizi webhook legittimi. La catena utilizza strumenti a basso attrito—VBS, script batch e Microsoft Edge avviato in modalità nascosta o headless—mantenendo l’infrastruttura su servizi pubblici come webhook.site.
Indagine
Lab52 ha tracciato quattro varianti di macrotra settembre 2025 e gennaio 2026, notando cambiamenti iterativi nel comportamento del dropper, persistenza dei task pianificati e esfiltrazione guidata dal browser. Gli analisti hanno evidenziato indicatori ricorrenti tra cui campi INCLUDEPICTURE, nomi file in stile GUID e automazione basata su SendKeys. Hanno anche estratto artefatti rilevanti, URL e il flusso specifico di creazione dei task pianificati utilizzato per mantenere l’accesso.
Mitigazione
Disabilitare l’esecuzione automatica delle macro in Office e applicare una rigorosa gestione degli allegati in Outlook. Monitorare la creazione sospetta di task pianificati e avvii atipici di Microsoft Edge in modalità headless o fuori dallo schermo. Bloccare o avvisare sul traffico in uscita verso webhook.site e piattaforme pubbliche simili. Utilizzare la white-list delle applicazioni per limitare l’esecuzione di file VBS e batch sconosciuti.
Risposta
Se vengono rilevate attività, isolare l’host, conservare il documento dannoso e gli artefatti correlati, e cercare il task pianificato creato e i file scaricati. Catturare la telemetria di rete per identificare i punti finali di esfiltrazione e rimuovere eventuali task dannosi pianificati. Eseguire una valutazione forense per il furto di credenziali e informare gli stakeholder. Aggiornare le rilevazioni per coprire gli IOC e i modelli comportamentali osservati.
Flusso di Attacco
Rilevazioni
Esecuzione Sospetta di Taskkill (via cmdline)
Visualizza
Possibile Distribuzione di Malware via WebsiteHook Endpoints (via proxy)
Visualizza
Processo del Browser Sospetto Eseguito con Parametri Sospetti (via cmdline)
Visualizza
LOLBAS WScript / CScript (via process_creation)
Visualizza
Possibile Distribuzione di Malware via WebsiteHook Endpoints (via dns)
Visualizza
IOC (HashSha256) per rilevare: Operazione MacroMaze: nuova campagna APT28 usando strumenti di base e infrastruttura legittima
Visualizza
Operazione MacroMaze APT28 Esecuzione di WScript e CMD [Creazione di Processi Windows]
Visualizza
Esecuzione di Simulazione
Pre-requisito: Il Check Prevolo della Telemetria e Baseline deve essere stato superato.
Ragionamento: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare l’esatta telemetria prevista dalla logica di rilevamento.
-
Narrazione e Comandi dell’Attacco:
Una macro Word dannosa in stile APT28 viene consegnata tramite phishing. Quando il documento viene aperto, la macro esegue un piccolo VBScript che crea un oggetto WScript.Shell Questo oggetto viene poi utilizzato per avviare
cmd.execon un payload che scrive una shell inversa PowerShell codificata in base-64 su un file temporaneo e la esegue. La sequenza genera due eventi di creazione di processi che soddisfano la regola Sigma:- wscript.exe (or cscript.exe) esegue il VBScript contenente
WScript.Shell. - Lo stesso VBScript chiama
WScript.Shell.Run "cmd.exe /c powershell -nop -w hidden -EncodedCommand …"che genera cmd.exe.
La relazione figlio-genitore e la presenza di
WScript.Shellnella riga di comando sono gli indicatori esatti che la regola cerca. - wscript.exe (or cscript.exe) esegue il VBScript contenente
-
Script di Test di Regressione:
# ------------------------------------------------------- # Simulazione MacroMaze – avvia wscript.exe → cmd.exe # ------------------------------------------------------- # 1. Creare un VBS temporaneo che utilizza WScript.Shell per eseguire cmd.exe $vbsContent = @" Set sh = CreateObject("WScript.Shell") sh.Run "cmd.exe /c echo Malicious payload executed > %TEMP%payload.txt" "@ $vbsPath = "$env:TEMPmacromaze.vbs" $vbsContent | Set-Content -Path $vbsPath -Encoding ASCII # 2. Eseguire il VBS tramite wscript.exe (genererà la telemetria desiderata) Start-Process -FilePath "wscript.exe" -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden # Optional: pausa per consentire al SIEM di ingerire gli eventi Start-Sleep -Seconds 5 # ------------------------------------------------------- -
Comandi di Pulizia:
# Rimuovere il file VBS temporaneo e il file del payload Remove-Item -Path "$env:TEMPmacromaze.vbs" -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPpayload.txt" -ErrorAction SilentlyContinue