SOC Prime Bias: Критичний

16 Feb 2026 14:31 UTC

Операція MacroMaze: нова кампанія APT28 з використанням базових інструментів та легальної інфраструктури

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Операція MacroMaze: нова кампанія APT28 з використанням базових інструментів та легальної інфраструктури
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

APT28 (Fancy Bear) провела операцію з фішингу, названу «Operation MacroMaze», націлену на організації по Західній та Центральній Європі. Приманкою були озброєні документи Word з макросами, які витягували додаткові скрипти і передавали вкрадені дані через легітимні служби вебхуків. Ланцюг дотримується інструментів з невисоким тертям — VBS, пакетні скрипти та Microsoft Edge, запущені в прихованому або безголівному режимі — утримуючи інфраструктуру на публічному сервісі webhook.site.

Розслідування

Lab52 відстежувала чотири варіанти макросів між вереснем 2025 та січнем 2026 року, помічаючи ітеративні зміни в поведінці дроппера, стійке завдання запланованих завдань та ексфільтрацію, спрямовану браузером. Аналітики виділили повторювальні індикатори, включаючи поля INCLUDEPICTURE, імена файлів в стилі GUID та автоматизацію, засновану на SendKeys. Вони також вилучили відповідні артефакти, URL-адреси та конкретний процес створення запланованих завдань, використовуваний для підтримання доступу.

Захист

Вимкніть автоматичну виконання макросів у Office та застосуйте строгий обробник вкладень в Outlook. Моніторте створення підозрілих запланованих завдань та аномальні запуски Microsoft Edge в безголівному або позаекранному режимах. Блокуйте або сигналізуйте про вихідний трафік до webhook.site та схожих публічних платформ вебхуків. Використовуйте список дозволених додатків для обмеження виконання невідомих файлів VBS та пакетних файлів.

Відповідь

Якщо виявлено активність, ізолюйте хост, збережіть шкідливий документ і пов’язані артефакти, і знайдіть створені заплановані завдання та завантажені файли. Захопіть мережеві дані для виявлення кінцевих точок ексфільтрації та видалення будь-яких шкідливих запланованих завдань. Виконайте судову експертизу для виявлення крадіжки облікових даних та сповістіть зацікавлені сторони. Оновіть виявлення, щоб охопити виявлені IOC та поведінкові шаблони.

Потік атаки

Імітація виконання

Передумова: Телеметрія та перевірка базової лінії повинні бути пройдені.

Обґрунтування: У цьому розділі детально описується точне виконання техніки противника (TTP), спроектованої для спрацьовування правила виявлення. Команди та оповідь МАЮТЬ безпосередньо відображати виявлені TTP і націлені на створення точної телеметрії, очікуваної логікою виявлення.

  • Атака і команди:

    APT28-стильний макрос із Word, що доставляється через фішинг. Коли документ відкрито, макрос запускає невеликий VBScript, який створює WScript.Shell об’єкт. Цей об’єкт потім використовується для запуску cmd.exe з навантаженням, яке записує base‑64‑закодовану реверсивну оболонку PowerShell у тимчасовий файл і виконує її. Послідовність генерує дві події створення процесу, які відповідають правилу Sigma:

    1. wscript.exe (or cscript.exe) запускає VBScript, що містить WScript.Shell.
    2. Той же VBScript викликає WScript.Shell.Run "cmd.exe /c powershell -nop -w hidden -EncodedCommand …" що порождає cmd.exe.

    Взаємозв’язок батько-дитина і присутність WScript.Shell в командному рядку — це точні індикатори, які шукає правило.

  • Скрипт тестування регресу:

    # -------------------------------------------------------
    # Імітація MacroMaze – запускає wscript.exe → cmd.exe
    # -------------------------------------------------------
    # 1. Створити тимчасовий VBS, що використовує WScript.Shell для запуску cmd.exe
    $vbsContent = @"
    Set sh = CreateObject("WScript.Shell")
    sh.Run "cmd.exe /c echo Шкідливе навантаження виконано > %TEMP%payload.txt"
    "@
    $vbsPath = "$env:TEMPmacromaze.vbs"
    $vbsContent | Set-Content -Path $vbsPath -Encoding ASCII
    
    # 2. Виконати VBS через wscript.exe (згенерує бажану телеметрію)
    Start-Process -FilePath "wscript.exe" -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden
    
    # Опціонально: пауза для дозволу SIEM на обробку подій
    Start-Sleep -Seconds 5
    # -------------------------------------------------------
  • Команди очищення:

    # Видалення тимчасового VBS та файлу навантаження
    Remove-Item -Path "$env:TEMPmacromaze.vbs" -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPpayload.txt" -ErrorAction SilentlyContinue