Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
APT28 (Fancy Bear) führte eine Spear-Phishing-Operation namens Operation MacroMaze durch, die auf Organisationen in West- und Mitteleuropa abzielt. Der Köder nutzte Waffe Word-Dokumente mit Makro-Dropplegemäßen, die zusätzliche Skripte herunterzogen und gestohlene Daten über legitime Webhook-Dienste ausleiteten. Die Kette setzt auf geringe Reibungswerkzeuge – VBS, Batch-Skripte und Microsoft Edge im versteckten oder kopflosen Modus – und hält dabei die Infrastruktur auf dem öffentlichen Dienst webhook.site.
Untersuchung
Lab52 verfolgte vier Makrovarianten zwischen September 2025 und Januar 2026 und stellte iterative Änderungen im Dropperverhalten, der geplanten Aufgabenpersistenz und exfiltrationsgetriebenen Browseraktivitäten fest. Analysten hoben wiederkehrende Indikatoren hervor, darunter INCLUDEPICTURE-Felder, GUID-ähnliche Dateinamen und auf SendKeys basierende Automatisierung. Sie extrahierten auch relevante Artefakte, URLs und den spezifischen Ablauf der geplanten Aufgabenstellung zur Zugriffserhaltung.
Minderung
Schalten Sie die automatische Makroausführung in Office aus und wenden Sie strenge Outlook-Anhangsverarbeitung an. Überwachen Sie auf verdächtige Erstellungen geplanter Aufgaben und untypische Microsoft Edge-Starts im kopflosen oder im Off-Screen-Modus. Blockieren oder melden Sie ausgehenden Datenverkehr zu webhook.site und ähnlichen öffentlichen Webhook-Plattformen. Verwenden Sie eine Anwendungs-Whitelist, um die Ausführung unbekannter VBS- und Batch-Dateien einzuschränken.
Reaktion
Wenn Aktivitäten erkannt werden, isolieren Sie den Host, sichern Sie das bösartige Dokument und zugehörige Artefakte und suchen Sie nach der erstellten geplanten Aufgabe und den abgelegten Dateien. Erfassen Sie Netzwerktelemetrie, um Exfiltrationsendpunkte zu identifizieren, und entfernen Sie alle bösartigen geplanten Aufgaben. Führen Sie eine forensische Überprüfung auf Anmeldedaten-Diebstahl durch und benachrichtigen Sie die Beteiligten. Aktualisieren Sie die Erkennungen, um die beobachteten IOCs und Verhaltensmuster abzudecken.
„graph TB %% Klassendefinitionen classDef technique fill:#c2e0ff %% Knotendefinitionen t1566_001[„<b>Technik</b> – T1566.001<br/><b>Name</b>: Spearphishing-Anhang<br/><b>Beschreibung</b>: Senden einer E-Mail mit bösartigem Anhang, der beim Öffnen die Nutzlast liefert.“] class t1566_001 technique t1204[„<b>Technik</b> – T1204<br/><b>Name</b>: Benutzer-Ausführung<br/><b>Beschreibung</b>: Opfer startet eine bösartige Datei oder ein Skript und initiiert den Angriff.“] class t1204 technique t1564_007[„<b>Technik</b> – T1564.007<br/><b>Name</b>: Artefakte verbergen: VBA-Stomp<br/><b>Beschreibung</b>: VBA-Makrocode bearbeiten, um bösartigen Inhalt zu verbergen und die Funktionalität zu erhalten.“] class t1564_007 technique t1059_005[„<b>Technik</b> – T1059.005<br/><b>Name</b>: Visual Basic<br/><b>Beschreibung</b>: Ausführen von Befehlen mit Visual Basic for Applications (VBA)-Skripten.“] class t1059_005 technique t1137_001[„<b>Technik</b> – T1137.001<br/><b>Name</b>: Office-Vorlagen-Makros<br/><b>Beschreibung</b>: Bösartige Makros über Office-Vorlagendateien verteilen.“] class t1137_001 technique t1546_002[„<b>Technik</b> – T1546.002<br/><b>Name</b>: Ereignisausgelöste Ausführung: Bildschirmschoner<br/><b>Beschreibung</b>: Einen bösartigen Bildschirmschoner registrieren, der bei Auslösung ausgeführt wird.“] class t1546_002 technique t1218_001[„<b>Technik</b> – T1218.001<br/><b>Name</b>: Kompilierte HTML-Datei<br/><b>Beschreibung</b>: Kompilierte HTML (CHM)-Dateien verwenden, um Code auf dem System des Opfers auszuführen.“] class t1218_001 technique t1027_006[„<b>Technik</b> – T1027.006<br/><b>Name</b>: HTML-Verpackung<br/><b>Beschreibung</b>: Bösartige Nutzlast in HTML einfügen, um Sicherheitskontrollen zu umgehen.“] class t1027_006 technique t1102_001[„<b>Technik</b> – T1102.001<br/><b>Name</b>: Tote Briefkasten Resolver<br/><b>Beschreibung</b>: Einen toteu2011Briefkasten Resolver verwenden, um Befehle abzurufen oder Daten zu extrahieren.“] class t1102_001 technique t1102_002[„<b>Technik</b> – T1102.002<br/><b>Name</b>: Bidirektionale Kommunikation<br/><b>Beschreibung</b>: Einen bidirektionalen Kommunikationskanal für Befehls- und Kontrollzwecke etablieren.“] class t1102_002 technique t1102_003[„<b>Technik</b> – T1102.003<br/><b>Name</b>: Unidirektionale Kommunikation<br/><b>Beschreibung</b>: Einen unidirektionalen Kanal verwenden, um Daten aus dem Netzwerk zu senden.“] class t1102_003 technique t1074_001[„<b>Technik</b> – T1074.001<br/><b>Name</b>: Daten gestaffelt: Lokale Datenstaging<br/><b>Beschreibung</b>: Gesammelte Daten auf dem lokalen Host vor der Exfiltration sammeln und stufen.“] class t1074_001 technique t1074_002[„<b>Technik</b> – T1074.002<br/><b>Name</b>: Daten gestaffelt: Fernstaging der Daten<br/><b>Beschreibung</b>: Gestaffelte Daten an einen entfernten Ort zur späteren Exfiltration übertragen.“] class t1074_002 technique t1560_001[„<b>Technik</b> – T1560.001<br/><b>Name</b>: Archivieren über Dienstprogramme<br/><b>Beschreibung</b>: Gestaffelte Daten mit Archivierungsdienstprogrammen komprimieren.“] class t1560_001 technique t1567_004[„<b>Technik</b> – T1567.004<br/><b>Name</b>: Exfiltration über Webhook<br/><b>Beschreibung</b>: Exfiltrierte Daten über einen Webhook an einen externen Dienst senden.“] class t1567_004 technique %% Verbindungen t1566_001 u002du002d>|führt_zu| t1204 t1204 u002du002d>|führt_zu| t1564_007 t1564_007 u002du002d>|führt_zu| t1059_005 t1059_005 u002du002d>|führt_zu| t1137_001 t1137_001 u002du002d>|führt_zu| t1546_002 t1546_002 u002du002d>|führt_zu| t1218_001 t1218_001 u002du002d>|führt_zu| t1027_006 t1027_006 u002du002d>|führt_zu| t1102_001 t1102_001 u002du002d>|führt_zu| t1102_002 t1102_002 u002du002d>|führt_zu| t1102_003 t1102_003 u002du002d>|führt_zu| t1074_001 t1074_001 u002du002d>|führt_zu| t1074_002 t1074_002 u002du002d>|führt_zu| t1560_001 t1560_001 u002du002d>|führt_zu| t1567_004 „
Angriffsfluss
Erkennungen
Verdächtige Taskkill-Ausführung (über cmdline)
Ansicht
Mögliche Malware-Verteilung über WebsiteHook-Endpunkte (über Proxy)
Ansicht
Verdächtiger Browserprozess mit verdächtigen Parametern ausgeführt (über cmdline)
Ansicht
LOLBAS WScript / CScript (über prozess_creation)
Ansicht
Mögliche Malware-Verteilung über WebsiteHook-Endpunkte (über DNS)
Ansicht
IOCs (HashSha256) zur Erkennung: Operation MacroMaze: neue APT28-Kampagne mit einfachen Werkzeugen und legitimer Infrastruktur
Ansicht
Operation MacroMaze APT28 WScript- und CMD-Ausführung [Windows-Prozesserstellung]
Ansicht
Simulation Ausführung
Voraussetzung: Die Telemetrie & Basislinien-Vorabüberprüfung muss bestanden haben.
Gründe: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und die Erzählung müssen direkt die identifizierten TTPs widerspiegeln und dazu beitragen, genau die Telemetrie zu erzeugen, die von der Erkennung erwartet wird.
-
Angriffserzählung & Befehle:
Ein APT28-stiliger bösartiger Word-Makro wird durch Phishing geliefert. Wenn das Dokument geöffnet wird, läuft das Makro ein kleines VBScript, das ein WScript.Shell Objekt erstellt. Dieses Objekt wird dann verwendet, um den
cmd.exemit einer Nutzlast zu starten, die eine base-64-kodierte PowerShell-Reverse-Shell in einer temporären Datei schreibt und ausführt. Die Sequenz erzeugt zwei Prozesserstellungsereignisse, die die Sigma-Regel erfüllen:- wscript.exe (or cscript.exe) läuft das VBScript, das
WScript.Shell. - Das gleiche VBScript ruft
WScript.Shell.Run "cmd.exe /c powershell -nop -w versteckt -EncodedCommand …"welches cmd.exe.
die Kind-Eltern-Beziehung und die Anwesenheit von
WScript.Shellin der Befehlszeile sind die genauen Indikatoren, nach denen die Regel sucht. - wscript.exe (or cscript.exe) läuft das VBScript, das
-
Regression Testskript:
# ------------------------------------------------------- # MacroMaze-Simulation – startet wscript.exe → cmd.exe # ------------------------------------------------------- # 1. Erstellen Sie ein temporäres VBS, das WScript.Shell verwendet, um cmd.exe auszuführen $vbsContent = @" Set sh = CreateObject("WScript.Shell") sh.Run "cmd.exe /c echo Malicious payload executed > %TEMP%payload.txt" "@ $vbsPath = "$env:TEMPmacromaze.vbs" $vbsContent | Set-Content -Path $vbsPath -Encoding ASCII # 2. Führen Sie das VBS über wscript.exe aus (wird die gewünschte Telemetrie erzeugen) Start-Process -FilePath "wscript.exe" -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden # Optional: Pause einlegen, um SIEM zu erlauben, Ereignisse aufzunehmen Start-Sleep -Seconds 5 # ------------------------------------------------------- -
Bereinigungskommandos:
# Entfernen Sie die temporäre VBS- und Nutzlast-Datei Remove-Item -Path "$env:TEMPmacromaze.vbs" -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPpayload.txt" -ErrorAction SilentlyContinue