Opération MacroMaze : nouvelle campagne APT28 utilisant des outils basiques et une infrastructure légitime
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
APT28 (Fancy Bear) a mené une opération de spear-phishing surnommée Operation MacroMaze ciblant des organisations en Europe occidentale et centrale. L’appât employait des documents Word armés avec des droppers de macros qui téléchargeaient des scripts supplémentaires et déplaçaient les données volées par le biais de services webhook légitimes. La chaîne repose sur des outils à friction réduite — VBS, scripts batch, et Microsoft Edge lancé en mode caché ou sans interface — tout en maintenant l’infrastructure sur le service public webhook.site.
Enquête
Lab52 a suivi quatre variantes de macros entre septembre 2025 et janvier 2026, notant des changements itératifs dans le comportement des droppers, la persistance via tâches planifiées, et l’exfiltration via navigateur. Les analystes ont mis en évidence des indicateurs récurrents incluant des champs INCLUDEPICTURE, des noms de fichiers de style GUID, et une automatisation basée sur SendKeys. Ils ont également extrait des artefacts pertinents, des URL, et le flux de création de tâches planifiées employé pour maintenir l’accès.
Atténuation
Désactivez l’exécution automatique des macros dans Office et appliquez une gestion stricte des pièces jointes Outlook. Surveillez la création de tâches planifiées suspectes et les lancements atypiques de Microsoft Edge en mode sans interface ou non visible. Bloquez ou avertissez sur le trafic sortant vers webhook.site et d’autres plateformes webhook publiques similaires. Utilisez la liste blanche d’applications pour restreindre l’exécution de fichiers VBS et batch inconnus.
Réponse
Si une activité est détectée, isolez l’hôte, préservez le document malveillant et les artefacts associés, et cherchez la tâche planifiée créée et les fichiers déposés. Capturez la télémétrie réseau pour identifier les points de sortie d’exfiltration et supprimez toute tâche planifiée malveillante. Effectuez un périmètre d’analyse pour le vol de crédentiels et informez les parties prenantes. Mettez à jour les détections pour couvrir les IOC observés et les comportements.
Flux d’attaque
Détections
Exécution Suspecte de Taskkill (via cmdline)
Voir
Possible Distribution de Malware via WebsiteHook Endpoints (via proxy)
Voir
Processus Navigateur Suspect Exécuté Avec Paramètres Suspects (via cmdline)
Voir
LOLBAS WScript / CScript (via création_de_processus)
Voir
Possible Distribution de Malware via WebsiteHook Endpoints (via dns)
Voir
IOC (HashSha256) pour détecter : Operation MacroMaze: nouvelle campagne APT28 utilisant des outils basiques et une infrastructure légitime
Voir
Opération MacroMaze APT28 WScript et CMD Execution [Création de Processus Windows]
Voir
Exécution de Simulation
Prérequis : Le Contrôle Télémetrie & Baseline Preflight doit être passé.
Raison : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narrative de l’Attaque & Commandes :
Une macro malveillante de style APT28 est livrée via phishing. Lorsque le document est ouvert, la macro exécute un petit VBScript qui crée un objet WScript.Shell . Cet objet est ensuite utilisé pour lancer
cmd.exeavec une charge utile qui écrit un shell inversé PowerShell encodé en base-64 dans un fichier temporaire et l’exécute. La séquence génère deux événements de création de processus qui satisfont la règle Sigma :- wscript.exe (or cscript.exe) exécute le VBScript contenant
objet WScript.Shell. - Le même VBScript appelle
WScript.Shell.Run "cmd.exe /c powershell -nop -w hidden -EncodedCommand …"qui génère cmd.exe.
La relation parent-enfant et la présence de
objet WScript.Shelldans la ligne de commande sont les indicateurs exacts que la règle recherche. - wscript.exe (or cscript.exe) exécute le VBScript contenant
-
Script de Test de Régression :
# ------------------------------------------------------- # Simulation MacroMaze – lance wscript.exe → cmd.exe # ------------------------------------------------------- # 1. Créez un VBS temporaire qui utilise WScript.Shell pour exécuter cmd.exe $vbsContent = @" Set sh = CreateObject("WScript.Shell") sh.Run "cmd.exe /c echo Charge utile malveillante exécutée > %TEMP%payload.txt" "@ $vbsPath = "$env:TEMPmacromaze.vbs" $vbsContent | Set-Content -Path $vbsPath -Encoding ASCII # 2. Exécutez le VBS via wscript.exe (générera la télémétrie souhaitée) Start-Process -FilePath "wscript.exe" -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden # Facultatif : pause pour permettre au SIEM d'ingérer les événements Start-Sleep -Seconds 5 # ------------------------------------------------------- -
Commandes de Nettoyage :
# Supprimez le VBS temporaire et le fichier de charge Remove-Item -Path "$env:TEMPmacromaze.vbs" -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPpayload.txt" -ErrorAction SilentlyContinue