SOC Prime Bias: Critique

16 Feb 2026 14:31 UTC

Opération MacroMaze : nouvelle campagne APT28 utilisant des outils basiques et une infrastructure légitime

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Opération MacroMaze : nouvelle campagne APT28 utilisant des outils basiques et une infrastructure légitime
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

APT28 (Fancy Bear) a mené une opération de spear-phishing surnommée Operation MacroMaze ciblant des organisations en Europe occidentale et centrale. L’appât employait des documents Word armés avec des droppers de macros qui téléchargeaient des scripts supplémentaires et déplaçaient les données volées par le biais de services webhook légitimes. La chaîne repose sur des outils à friction réduite — VBS, scripts batch, et Microsoft Edge lancé en mode caché ou sans interface — tout en maintenant l’infrastructure sur le service public webhook.site.

Enquête

Lab52 a suivi quatre variantes de macros entre septembre 2025 et janvier 2026, notant des changements itératifs dans le comportement des droppers, la persistance via tâches planifiées, et l’exfiltration via navigateur. Les analystes ont mis en évidence des indicateurs récurrents incluant des champs INCLUDEPICTURE, des noms de fichiers de style GUID, et une automatisation basée sur SendKeys. Ils ont également extrait des artefacts pertinents, des URL, et le flux de création de tâches planifiées employé pour maintenir l’accès.

Atténuation

Désactivez l’exécution automatique des macros dans Office et appliquez une gestion stricte des pièces jointes Outlook. Surveillez la création de tâches planifiées suspectes et les lancements atypiques de Microsoft Edge en mode sans interface ou non visible. Bloquez ou avertissez sur le trafic sortant vers webhook.site et d’autres plateformes webhook publiques similaires. Utilisez la liste blanche d’applications pour restreindre l’exécution de fichiers VBS et batch inconnus.

Réponse

Si une activité est détectée, isolez l’hôte, préservez le document malveillant et les artefacts associés, et cherchez la tâche planifiée créée et les fichiers déposés. Capturez la télémétrie réseau pour identifier les points de sortie d’exfiltration et supprimez toute tâche planifiée malveillante. Effectuez un périmètre d’analyse pour le vol de crédentiels et informez les parties prenantes. Mettez à jour les détections pour couvrir les IOC observés et les comportements.

Flux d’attaque

Exécution de Simulation

Prérequis : Le Contrôle Télémetrie & Baseline Preflight doit être passé.

Raison : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.

  • Narrative de l’Attaque & Commandes :

    Une macro malveillante de style APT28 est livrée via phishing. Lorsque le document est ouvert, la macro exécute un petit VBScript qui crée un objet WScript.Shell . Cet objet est ensuite utilisé pour lancer cmd.exe avec une charge utile qui écrit un shell inversé PowerShell encodé en base-64 dans un fichier temporaire et l’exécute. La séquence génère deux événements de création de processus qui satisfont la règle Sigma :

    1. wscript.exe (or cscript.exe) exécute le VBScript contenant objet WScript.Shell.
    2. Le même VBScript appelle WScript.Shell.Run "cmd.exe /c powershell -nop -w hidden -EncodedCommand …" qui génère cmd.exe.

    La relation parent-enfant et la présence de objet WScript.Shell dans la ligne de commande sont les indicateurs exacts que la règle recherche.

  • Script de Test de Régression :

    # -------------------------------------------------------
    # Simulation MacroMaze – lance wscript.exe → cmd.exe
    # -------------------------------------------------------
    # 1. Créez un VBS temporaire qui utilise WScript.Shell pour exécuter cmd.exe
    $vbsContent = @"
    Set sh = CreateObject("WScript.Shell")
    sh.Run "cmd.exe /c echo Charge utile malveillante exécutée > %TEMP%payload.txt"
    "@
    $vbsPath = "$env:TEMPmacromaze.vbs"
    $vbsContent | Set-Content -Path $vbsPath -Encoding ASCII
    
    # 2. Exécutez le VBS via wscript.exe (générera la télémétrie souhaitée)
    Start-Process -FilePath "wscript.exe" -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden
    
    # Facultatif : pause pour permettre au SIEM d'ingérer les événements
    Start-Sleep -Seconds 5
    # -------------------------------------------------------
  • Commandes de Nettoyage :

    # Supprimez le VBS temporaire et le fichier de charge
    Remove-Item -Path "$env:TEMPmacromaze.vbs" -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPpayload.txt" -ErrorAction SilentlyContinue