Operation MakroLabyrinth: neue APT28-Kampagne mit einfachen Werkzeugen und legitimer Infrastruktur
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
APT28 (Fancy Bear) führte eine Spear-Phishing-Operation namens Operation MacroMaze durch, die auf Organisationen in West- und Mitteleuropa abzielt. Der Köder nutzte Waffe Word-Dokumente mit Makro-Dropplegemäßen, die zusätzliche Skripte herunterzogen und gestohlene Daten über legitime Webhook-Dienste ausleiteten. Die Kette setzt auf geringe Reibungswerkzeuge – VBS, Batch-Skripte und Microsoft Edge im versteckten oder kopflosen Modus – und hält dabei die Infrastruktur auf dem öffentlichen Dienst webhook.site.
Untersuchung
Lab52 verfolgte vier Makrovarianten zwischen September 2025 und Januar 2026 und stellte iterative Änderungen im Dropperverhalten, der geplanten Aufgabenpersistenz und exfiltrationsgetriebenen Browseraktivitäten fest. Analysten hoben wiederkehrende Indikatoren hervor, darunter INCLUDEPICTURE-Felder, GUID-ähnliche Dateinamen und auf SendKeys basierende Automatisierung. Sie extrahierten auch relevante Artefakte, URLs und den spezifischen Ablauf der geplanten Aufgabenstellung zur Zugriffserhaltung.
Minderung
Schalten Sie die automatische Makroausführung in Office aus und wenden Sie strenge Outlook-Anhangsverarbeitung an. Überwachen Sie auf verdächtige Erstellungen geplanter Aufgaben und untypische Microsoft Edge-Starts im kopflosen oder im Off-Screen-Modus. Blockieren oder melden Sie ausgehenden Datenverkehr zu webhook.site und ähnlichen öffentlichen Webhook-Plattformen. Verwenden Sie eine Anwendungs-Whitelist, um die Ausführung unbekannter VBS- und Batch-Dateien einzuschränken.
Reaktion
Wenn Aktivitäten erkannt werden, isolieren Sie den Host, sichern Sie das bösartige Dokument und zugehörige Artefakte und suchen Sie nach der erstellten geplanten Aufgabe und den abgelegten Dateien. Erfassen Sie Netzwerktelemetrie, um Exfiltrationsendpunkte zu identifizieren, und entfernen Sie alle bösartigen geplanten Aufgaben. Führen Sie eine forensische Überprüfung auf Anmeldedaten-Diebstahl durch und benachrichtigen Sie die Beteiligten. Aktualisieren Sie die Erkennungen, um die beobachteten IOCs und Verhaltensmuster abzudecken.
Angriffsfluss
Erkennungen
Verdächtige Taskkill-Ausführung (über cmdline)
Ansicht
Mögliche Malware-Verteilung über WebsiteHook-Endpunkte (über Proxy)
Ansicht
Verdächtiger Browserprozess mit verdächtigen Parametern ausgeführt (über cmdline)
Ansicht
LOLBAS WScript / CScript (über prozess_creation)
Ansicht
Mögliche Malware-Verteilung über WebsiteHook-Endpunkte (über DNS)
Ansicht
IOCs (HashSha256) zur Erkennung: Operation MacroMaze: neue APT28-Kampagne mit einfachen Werkzeugen und legitimer Infrastruktur
Ansicht
Operation MacroMaze APT28 WScript- und CMD-Ausführung [Windows-Prozesserstellung]
Ansicht
Simulation Ausführung
Voraussetzung: Die Telemetrie & Basislinien-Vorabüberprüfung muss bestanden haben.
Gründe: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und die Erzählung müssen direkt die identifizierten TTPs widerspiegeln und dazu beitragen, genau die Telemetrie zu erzeugen, die von der Erkennung erwartet wird.
-
Angriffserzählung & Befehle:
Ein APT28-stiliger bösartiger Word-Makro wird durch Phishing geliefert. Wenn das Dokument geöffnet wird, läuft das Makro ein kleines VBScript, das ein WScript.Shell Objekt erstellt. Dieses Objekt wird dann verwendet, um den
cmd.exemit einer Nutzlast zu starten, die eine base-64-kodierte PowerShell-Reverse-Shell in einer temporären Datei schreibt und ausführt. Die Sequenz erzeugt zwei Prozesserstellungsereignisse, die die Sigma-Regel erfüllen:- wscript.exe (or cscript.exe) läuft das VBScript, das
WScript.Shell. - Das gleiche VBScript ruft
WScript.Shell.Run "cmd.exe /c powershell -nop -w versteckt -EncodedCommand …"welches cmd.exe.
die Kind-Eltern-Beziehung und die Anwesenheit von
WScript.Shellin der Befehlszeile sind die genauen Indikatoren, nach denen die Regel sucht. - wscript.exe (or cscript.exe) läuft das VBScript, das
-
Regression Testskript:
# ------------------------------------------------------- # MacroMaze-Simulation – startet wscript.exe → cmd.exe # ------------------------------------------------------- # 1. Erstellen Sie ein temporäres VBS, das WScript.Shell verwendet, um cmd.exe auszuführen $vbsContent = @" Set sh = CreateObject("WScript.Shell") sh.Run "cmd.exe /c echo Malicious payload executed > %TEMP%payload.txt" "@ $vbsPath = "$env:TEMPmacromaze.vbs" $vbsContent | Set-Content -Path $vbsPath -Encoding ASCII # 2. Führen Sie das VBS über wscript.exe aus (wird die gewünschte Telemetrie erzeugen) Start-Process -FilePath "wscript.exe" -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden # Optional: Pause einlegen, um SIEM zu erlauben, Ereignisse aufzunehmen Start-Sleep -Seconds 5 # ------------------------------------------------------- -
Bereinigungskommandos:
# Entfernen Sie die temporäre VBS- und Nutzlast-Datei Remove-Item -Path "$env:TEMPmacromaze.vbs" -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPpayload.txt" -ErrorAction SilentlyContinue