Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
APT28 (Fancy Bear) ha condotto un’operazione di spear-phishing denominata Operazione MacroMaze, prendendo di mira organizzazioni in Europa occidentale e centrale. L’esca utilizzava documenti Word con macro dannose che scaricavano script aggiuntivi e trasferivano i dati rubati attraverso servizi webhook legittimi. La catena utilizza strumenti a basso attrito—VBS, script batch e Microsoft Edge avviato in modalitĂ nascosta o headless—mantenendo l’infrastruttura su servizi pubblici come webhook.site.
Indagine
Lab52 ha tracciato quattro varianti di macrotra settembre 2025 e gennaio 2026, notando cambiamenti iterativi nel comportamento del dropper, persistenza dei task pianificati e esfiltrazione guidata dal browser. Gli analisti hanno evidenziato indicatori ricorrenti tra cui campi INCLUDEPICTURE, nomi file in stile GUID e automazione basata su SendKeys. Hanno anche estratto artefatti rilevanti, URL e il flusso specifico di creazione dei task pianificati utilizzato per mantenere l’accesso.
Mitigazione
Disabilitare l’esecuzione automatica delle macro in Office e applicare una rigorosa gestione degli allegati in Outlook. Monitorare la creazione sospetta di task pianificati e avvii atipici di Microsoft Edge in modalitĂ headless o fuori dallo schermo. Bloccare o avvisare sul traffico in uscita verso webhook.site e piattaforme pubbliche simili. Utilizzare la white-list delle applicazioni per limitare l’esecuzione di file VBS e batch sconosciuti.
Risposta
Se vengono rilevate attivitĂ , isolare l’host, conservare il documento dannoso e gli artefatti correlati, e cercare il task pianificato creato e i file scaricati. Catturare la telemetria di rete per identificare i punti finali di esfiltrazione e rimuovere eventuali task dannosi pianificati. Eseguire una valutazione forense per il furto di credenziali e informare gli stakeholder. Aggiornare le rilevazioni per coprire gli IOC e i modelli comportamentali osservati.
graph TB %% Definizioni delle classi classDef technique fill:#c2e0ff %% Definizione dei nodi t1566_001[“<b>Tecnica</b> – T1566.001<br/><b>Nome</b>: Allegato di Spearphishing<br/><b>Descrizione</b>: Invio di email con allegato malevolo che, una volta aperto, rilascia il payload.”] class t1566_001 technique t1204[“<b>Tecnica</b> – T1204<br/><b>Nome</b>: Esecuzione dell’Utente<br/><b>Descrizione</b>: La vittima esegue un file o script malevolo avviando l’attacco.”] class t1204 technique t1564_007[“<b>Tecnica</b> – T1564.007<br/><b>Nome</b>: Nascondere Artefatti: VBA Stomping<br/><b>Descrizione</b>: Modifica del codice macro VBA per nascondere contenuti malevoli mantenendo la funzionalitĂ .”] class t1564_007 technique t1059_005[“<b>Tecnica</b> – T1059.005<br/><b>Nome</b>: Visual Basic<br/><b>Descrizione</b>: Esecuzione di comandi tramite script VBA.”] class t1059_005 technique t1137_001[“<b>Tecnica</b> – T1137.001<br/><b>Nome</b>: Macro di Modelli Office<br/><b>Descrizione</b>: Distribuzione di macro malevole tramite file di modello Office.”] class t1137_001 technique t1546_002[“<b>Tecnica</b> – T1546.002<br/><b>Nome</b>: Esecuzione Attivata da Evento: Salvaschermo<br/><b>Descrizione</b>: Registrazione di un salvaschermo malevolo che viene eseguito all’attivazione.”] class t1546_002 technique t1218_001[“<b>Tecnica</b> – T1218.001<br/><b>Nome</b>: File HTML Compilato<br/><b>Descrizione</b>: Utilizzo di file CHM per eseguire codice sul sistema vittima.”] class t1218_001 technique t1027_006[“<b>Tecnica</b> – T1027.006<br/><b>Nome</b>: HTML Smuggling<br/><b>Descrizione</b>: Codifica del payload malevolo in HTML per eludere i controlli di sicurezza.”] class t1027_006 technique t1102_001[“<b>Tecnica</b> – T1102.001<br/><b>Nome</b>: Dead Drop Resolver<br/><b>Descrizione</b>: Utilizzo di un dead drop per recuperare comandi o esfiltrare dati.”] class t1102_001 technique t1102_002[“<b>Tecnica</b> – T1102.002<br/><b>Nome</b>: Comunicazione Bidirezionale<br/><b>Descrizione</b>: Creazione di un canale di comunicazione bidirezionale per C2.”] class t1102_002 technique t1102_003[“<b>Tecnica</b> – T1102.003<br/><b>Nome</b>: Comunicazione Unidirezionale<br/><b>Descrizione</b>: Utilizzo di un canale unidirezionale per inviare dati all’esterno.”] class t1102_003 technique t1074_001[“<b>Tecnica</b> – T1074.001<br/><b>Nome</b>: Dati Preparati: Locale<br/><b>Descrizione</b>: Raccolta e preparazione dei dati sul sistema locale prima dell’esfiltrazione.”] class t1074_001 technique t1074_002[“<b>Tecnica</b> – T1074.002<br/><b>Nome</b>: Dati Preparati: Remoto<br/><b>Descrizione</b>: Trasferimento dei dati preparati in una posizione remota.”] class t1074_002 technique t1560_001[“<b>Tecnica</b> – T1560.001<br/><b>Nome</b>: Archiviazione tramite Utility<br/><b>Descrizione</b>: Compressione dei dati preparati utilizzando utility di archiviazione.”] class t1560_001 technique t1567_004[“<b>Tecnica</b> – T1567.004<br/><b>Nome</b>: Esfiltrazione tramite Webhook<br/><b>Descrizione</b>: Invio dei dati esfiltrati a un servizio esterno tramite webhook.”] class t1567_004 technique %% Connessioni t1566_001 –>|leads_to| t1204 t1204 –>|leads_to| t1564_007 t1564_007 –>|leads_to| t1059_005 t1059_005 –>|leads_to| t1137_001 t1137_001 –>|leads_to| t1546_002 t1546_002 –>|leads_to| t1218_001 t1218_001 –>|leads_to| t1027_006 t1027_006 –>|leads_to| t1102_001 t1102_001 –>|leads_to| t1102_002 t1102_002 –>|leads_to| t1102_003 t1102_003 –>|leads_to| t1074_001 t1074_001 –>|leads_to| t1074_002 t1074_002 –>|leads_to| t1560_001 t1560_001 –>|leads_to| t1567_004
Flusso di Attacco
Rilevazioni
Esecuzione Sospetta di Taskkill (via cmdline)
Visualizza
Possibile Distribuzione di Malware via WebsiteHook Endpoints (via proxy)
Visualizza
Processo del Browser Sospetto Eseguito con Parametri Sospetti (via cmdline)
Visualizza
LOLBAS WScript / CScript (via process_creation)
Visualizza
Possibile Distribuzione di Malware via WebsiteHook Endpoints (via dns)
Visualizza
IOC (HashSha256) per rilevare: Operazione MacroMaze: nuova campagna APT28 usando strumenti di base e infrastruttura legittima
Visualizza
Operazione MacroMaze APT28 Esecuzione di WScript e CMD [Creazione di Processi Windows]
Visualizza
Esecuzione di Simulazione
Pre-requisito: Il Check Prevolo della Telemetria e Baseline deve essere stato superato.
Ragionamento: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare l’esatta telemetria prevista dalla logica di rilevamento.
-
Narrazione e Comandi dell’Attacco:
Una macro Word dannosa in stile APT28 viene consegnata tramite phishing. Quando il documento viene aperto, la macro esegue un piccolo VBScript che crea un oggetto WScript.Shell Questo oggetto viene poi utilizzato per avviare
cmd.execon un payload che scrive una shell inversa PowerShell codificata in base-64 su un file temporaneo e la esegue. La sequenza genera due eventi di creazione di processi che soddisfano la regola Sigma:- wscript.exe (or cscript.exe) esegue il VBScript contenente
WScript.Shell. - Lo stesso VBScript chiama
WScript.Shell.Run "cmd.exe /c powershell -nop -w hidden -EncodedCommand …"che genera cmd.exe.
La relazione figlio-genitore e la presenza di
WScript.Shellnella riga di comando sono gli indicatori esatti che la regola cerca. - wscript.exe (or cscript.exe) esegue il VBScript contenente
-
Script di Test di Regressione:
# ------------------------------------------------------- # Simulazione MacroMaze – avvia wscript.exe → cmd.exe # ------------------------------------------------------- # 1. Creare un VBS temporaneo che utilizza WScript.Shell per eseguire cmd.exe $vbsContent = @" Set sh = CreateObject("WScript.Shell") sh.Run "cmd.exe /c echo Malicious payload executed > %TEMP%payload.txt" "@ $vbsPath = "$env:TEMPmacromaze.vbs" $vbsContent | Set-Content -Path $vbsPath -Encoding ASCII # 2. Eseguire il VBS tramite wscript.exe (genererà la telemetria desiderata) Start-Process -FilePath "wscript.exe" -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden # Optional: pausa per consentire al SIEM di ingerire gli eventi Start-Sleep -Seconds 5 # ------------------------------------------------------- -
Comandi di Pulizia:
# Rimuovere il file VBS temporaneo e il file del payload Remove-Item -Path "$env:TEMPmacromaze.vbs" -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPpayload.txt" -ErrorAction SilentlyContinue