Операція MacroMaze: нова кампанія APT28 з використанням базових інструментів та легальної інфраструктури
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
APT28 (Fancy Bear) провела операцію з фішингу, названу «Operation MacroMaze», націлену на організації по Західній та Центральній Європі. Приманкою були озброєні документи Word з макросами, які витягували додаткові скрипти і передавали вкрадені дані через легітимні служби вебхуків. Ланцюг дотримується інструментів з невисоким тертям — VBS, пакетні скрипти та Microsoft Edge, запущені в прихованому або безголівному режимі — утримуючи інфраструктуру на публічному сервісі webhook.site.
Розслідування
Lab52 відстежувала чотири варіанти макросів між вереснем 2025 та січнем 2026 року, помічаючи ітеративні зміни в поведінці дроппера, стійке завдання запланованих завдань та ексфільтрацію, спрямовану браузером. Аналітики виділили повторювальні індикатори, включаючи поля INCLUDEPICTURE, імена файлів в стилі GUID та автоматизацію, засновану на SendKeys. Вони також вилучили відповідні артефакти, URL-адреси та конкретний процес створення запланованих завдань, використовуваний для підтримання доступу.
Захист
Вимкніть автоматичну виконання макросів у Office та застосуйте строгий обробник вкладень в Outlook. Моніторте створення підозрілих запланованих завдань та аномальні запуски Microsoft Edge в безголівному або позаекранному режимах. Блокуйте або сигналізуйте про вихідний трафік до webhook.site та схожих публічних платформ вебхуків. Використовуйте список дозволених додатків для обмеження виконання невідомих файлів VBS та пакетних файлів.
Відповідь
Якщо виявлено активність, ізолюйте хост, збережіть шкідливий документ і пов’язані артефакти, і знайдіть створені заплановані завдання та завантажені файли. Захопіть мережеві дані для виявлення кінцевих точок ексфільтрації та видалення будь-яких шкідливих запланованих завдань. Виконайте судову експертизу для виявлення крадіжки облікових даних та сповістіть зацікавлені сторони. Оновіть виявлення, щоб охопити виявлені IOC та поведінкові шаблони.
Потік атаки
Виявлення
Підозріла виконання Taskkill (через командний рядок)
Перегляд
Можливий розподіл шкідливого ПО через кінцеві точки WebsiteHook (через проксі)
Перегляд
Підозрілий процес браузера виконаний з підозрілими параметрами (через командний рядок)
Перегляд
LOLBAS WScript / CScript (через створення процесу)
Перегляд
Можливий розподіл шкідливого ПО через кінцеві точки WebsiteHook (через DNS)
Перегляд
IOCs (HashSha256) для виявлення: Operation MacroMaze: нова кампанія APT28 з використанням базових інструментів та легальної інфраструктури
Перегляд
Operation MacroMaze APT28 WScript та виконання CMD [Створення процесу Windows]
Перегляд
Імітація виконання
Передумова: Телеметрія та перевірка базової лінії повинні бути пройдені.
Обґрунтування: У цьому розділі детально описується точне виконання техніки противника (TTP), спроектованої для спрацьовування правила виявлення. Команди та оповідь МАЮТЬ безпосередньо відображати виявлені TTP і націлені на створення точної телеметрії, очікуваної логікою виявлення.
-
Атака і команди:
APT28-стильний макрос із Word, що доставляється через фішинг. Коли документ відкрито, макрос запускає невеликий VBScript, який створює WScript.Shell об’єкт. Цей об’єкт потім використовується для запуску
cmd.exeз навантаженням, яке записує base‑64‑закодовану реверсивну оболонку PowerShell у тимчасовий файл і виконує її. Послідовність генерує дві події створення процесу, які відповідають правилу Sigma:- wscript.exe (or cscript.exe) запускає VBScript, що містить
WScript.Shell. - Той же VBScript викликає
WScript.Shell.Run "cmd.exe /c powershell -nop -w hidden -EncodedCommand …"що порождає cmd.exe.
Взаємозв’язок батько-дитина і присутність
WScript.Shellв командному рядку — це точні індикатори, які шукає правило. - wscript.exe (or cscript.exe) запускає VBScript, що містить
-
Скрипт тестування регресу:
# ------------------------------------------------------- # Імітація MacroMaze – запускає wscript.exe → cmd.exe # ------------------------------------------------------- # 1. Створити тимчасовий VBS, що використовує WScript.Shell для запуску cmd.exe $vbsContent = @" Set sh = CreateObject("WScript.Shell") sh.Run "cmd.exe /c echo Шкідливе навантаження виконано > %TEMP%payload.txt" "@ $vbsPath = "$env:TEMPmacromaze.vbs" $vbsContent | Set-Content -Path $vbsPath -Encoding ASCII # 2. Виконати VBS через wscript.exe (згенерує бажану телеметрію) Start-Process -FilePath "wscript.exe" -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden # Опціонально: пауза для дозволу SIEM на обробку подій Start-Sleep -Seconds 5 # ------------------------------------------------------- -
Команди очищення:
# Видалення тимчасового VBS та файлу навантаження Remove-Item -Path "$env:TEMPmacromaze.vbs" -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPpayload.txt" -ErrorAction SilentlyContinue