SOC Prime Bias: Critico

16 Feb 2026 14:31 UTC

Operazione MacroMaze: nuova campagna APT28 che utilizza strumenti di base e infrastruttura legittima

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Operazione MacroMaze: nuova campagna APT28 che utilizza strumenti di base e infrastruttura legittima
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

APT28 (Fancy Bear) ha condotto un’operazione di spear-phishing denominata Operazione MacroMaze, prendendo di mira organizzazioni in Europa occidentale e centrale. L’esca utilizzava documenti Word con macro dannose che scaricavano script aggiuntivi e trasferivano i dati rubati attraverso servizi webhook legittimi. La catena utilizza strumenti a basso attrito—VBS, script batch e Microsoft Edge avviato in modalità nascosta o headless—mantenendo l’infrastruttura su servizi pubblici come webhook.site.

Indagine

Lab52 ha tracciato quattro varianti di macrotra settembre 2025 e gennaio 2026, notando cambiamenti iterativi nel comportamento del dropper, persistenza dei task pianificati e esfiltrazione guidata dal browser. Gli analisti hanno evidenziato indicatori ricorrenti tra cui campi INCLUDEPICTURE, nomi file in stile GUID e automazione basata su SendKeys. Hanno anche estratto artefatti rilevanti, URL e il flusso specifico di creazione dei task pianificati utilizzato per mantenere l’accesso.

Mitigazione

Disabilitare l’esecuzione automatica delle macro in Office e applicare una rigorosa gestione degli allegati in Outlook. Monitorare la creazione sospetta di task pianificati e avvii atipici di Microsoft Edge in modalità headless o fuori dallo schermo. Bloccare o avvisare sul traffico in uscita verso webhook.site e piattaforme pubbliche simili. Utilizzare la white-list delle applicazioni per limitare l’esecuzione di file VBS e batch sconosciuti.

Risposta

Se vengono rilevate attività, isolare l’host, conservare il documento dannoso e gli artefatti correlati, e cercare il task pianificato creato e i file scaricati. Catturare la telemetria di rete per identificare i punti finali di esfiltrazione e rimuovere eventuali task dannosi pianificati. Eseguire una valutazione forense per il furto di credenziali e informare gli stakeholder. Aggiornare le rilevazioni per coprire gli IOC e i modelli comportamentali osservati.

Flusso di Attacco

Esecuzione di Simulazione

Pre-requisito: Il Check Prevolo della Telemetria e Baseline deve essere stato superato.

Ragionamento: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare l’esatta telemetria prevista dalla logica di rilevamento.

  • Narrazione e Comandi dell’Attacco:

    Una macro Word dannosa in stile APT28 viene consegnata tramite phishing. Quando il documento viene aperto, la macro esegue un piccolo VBScript che crea un oggetto WScript.Shell Questo oggetto viene poi utilizzato per avviare cmd.exe con un payload che scrive una shell inversa PowerShell codificata in base-64 su un file temporaneo e la esegue. La sequenza genera due eventi di creazione di processi che soddisfano la regola Sigma:

    1. wscript.exe (or cscript.exe) esegue il VBScript contenente WScript.Shell.
    2. Lo stesso VBScript chiama WScript.Shell.Run "cmd.exe /c powershell -nop -w hidden -EncodedCommand …" che genera cmd.exe.

    La relazione figlio-genitore e la presenza di WScript.Shell nella riga di comando sono gli indicatori esatti che la regola cerca.

  • Script di Test di Regressione:

    # -------------------------------------------------------
    # Simulazione MacroMaze – avvia wscript.exe → cmd.exe
    # -------------------------------------------------------
    # 1. Creare un VBS temporaneo che utilizza WScript.Shell per eseguire cmd.exe
    $vbsContent = @"
    Set sh = CreateObject("WScript.Shell")
    sh.Run "cmd.exe /c echo Malicious payload executed > %TEMP%payload.txt"
    "@
    $vbsPath = "$env:TEMPmacromaze.vbs"
    $vbsContent | Set-Content -Path $vbsPath -Encoding ASCII
    
    # 2. Eseguire il VBS tramite wscript.exe (genererà la telemetria desiderata)
    Start-Process -FilePath "wscript.exe" -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden
    
    # Optional: pausa per consentire al SIEM di ingerire gli eventi
    Start-Sleep -Seconds 5
    # -------------------------------------------------------
  • Comandi di Pulizia:

    # Rimuovere il file VBS temporaneo e il file del payload
    Remove-Item -Path "$env:TEMPmacromaze.vbs" -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPpayload.txt" -ErrorAction SilentlyContinue