SOC Prime Bias: Kritisch

16 Feb 2026 14:31 UTC

Operation MakroLabyrinth: neue APT28-Kampagne mit einfachen Werkzeugen und legitimer Infrastruktur

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Operation MakroLabyrinth: neue APT28-Kampagne mit einfachen Werkzeugen und legitimer Infrastruktur
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

APT28 (Fancy Bear) führte eine Spear-Phishing-Operation namens Operation MacroMaze durch, die auf Organisationen in West- und Mitteleuropa abzielt. Der Köder nutzte Waffe Word-Dokumente mit Makro-Dropplegemäßen, die zusätzliche Skripte herunterzogen und gestohlene Daten über legitime Webhook-Dienste ausleiteten. Die Kette setzt auf geringe Reibungswerkzeuge – VBS, Batch-Skripte und Microsoft Edge im versteckten oder kopflosen Modus – und hält dabei die Infrastruktur auf dem öffentlichen Dienst webhook.site.

Untersuchung

Lab52 verfolgte vier Makrovarianten zwischen September 2025 und Januar 2026 und stellte iterative Änderungen im Dropperverhalten, der geplanten Aufgabenpersistenz und exfiltrationsgetriebenen Browseraktivitäten fest. Analysten hoben wiederkehrende Indikatoren hervor, darunter INCLUDEPICTURE-Felder, GUID-ähnliche Dateinamen und auf SendKeys basierende Automatisierung. Sie extrahierten auch relevante Artefakte, URLs und den spezifischen Ablauf der geplanten Aufgabenstellung zur Zugriffserhaltung.

Minderung

Schalten Sie die automatische Makroausführung in Office aus und wenden Sie strenge Outlook-Anhangsverarbeitung an. Überwachen Sie auf verdächtige Erstellungen geplanter Aufgaben und untypische Microsoft Edge-Starts im kopflosen oder im Off-Screen-Modus. Blockieren oder melden Sie ausgehenden Datenverkehr zu webhook.site und ähnlichen öffentlichen Webhook-Plattformen. Verwenden Sie eine Anwendungs-Whitelist, um die Ausführung unbekannter VBS- und Batch-Dateien einzuschränken.

Reaktion

Wenn Aktivitäten erkannt werden, isolieren Sie den Host, sichern Sie das bösartige Dokument und zugehörige Artefakte und suchen Sie nach der erstellten geplanten Aufgabe und den abgelegten Dateien. Erfassen Sie Netzwerktelemetrie, um Exfiltrationsendpunkte zu identifizieren, und entfernen Sie alle bösartigen geplanten Aufgaben. Führen Sie eine forensische Überprüfung auf Anmeldedaten-Diebstahl durch und benachrichtigen Sie die Beteiligten. Aktualisieren Sie die Erkennungen, um die beobachteten IOCs und Verhaltensmuster abzudecken.

Angriffsfluss

Simulation Ausführung

Voraussetzung: Die Telemetrie & Basislinien-Vorabüberprüfung muss bestanden haben.

Gründe: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und die Erzählung müssen direkt die identifizierten TTPs widerspiegeln und dazu beitragen, genau die Telemetrie zu erzeugen, die von der Erkennung erwartet wird.

  • Angriffserzählung & Befehle:

    Ein APT28-stiliger bösartiger Word-Makro wird durch Phishing geliefert. Wenn das Dokument geöffnet wird, läuft das Makro ein kleines VBScript, das ein WScript.Shell Objekt erstellt. Dieses Objekt wird dann verwendet, um den cmd.exe mit einer Nutzlast zu starten, die eine base-64-kodierte PowerShell-Reverse-Shell in einer temporären Datei schreibt und ausführt. Die Sequenz erzeugt zwei Prozesserstellungsereignisse, die die Sigma-Regel erfüllen:

    1. wscript.exe (or cscript.exe) läuft das VBScript, das WScript.Shell.
    2. Das gleiche VBScript ruft WScript.Shell.Run "cmd.exe /c powershell -nop -w versteckt -EncodedCommand …" welches cmd.exe.

    die Kind-Eltern-Beziehung und die Anwesenheit von WScript.Shell in der Befehlszeile sind die genauen Indikatoren, nach denen die Regel sucht.

  • Regression Testskript:

    # -------------------------------------------------------
    # MacroMaze-Simulation – startet wscript.exe → cmd.exe
    # -------------------------------------------------------
    # 1. Erstellen Sie ein temporäres VBS, das WScript.Shell verwendet, um cmd.exe auszuführen
    $vbsContent = @"
    Set sh = CreateObject("WScript.Shell")
    sh.Run "cmd.exe /c echo Malicious payload executed > %TEMP%payload.txt"
    "@
    $vbsPath = "$env:TEMPmacromaze.vbs"
    $vbsContent | Set-Content -Path $vbsPath -Encoding ASCII
    
    # 2. Führen Sie das VBS über wscript.exe aus (wird die gewünschte Telemetrie erzeugen)
    Start-Process -FilePath "wscript.exe" -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden
    
    # Optional: Pause einlegen, um SIEM zu erlauben, Ereignisse aufzunehmen
    Start-Sleep -Seconds 5
    # -------------------------------------------------------
  • Bereinigungskommandos:

    # Entfernen Sie die temporäre VBS- und Nutzlast-Datei
    Remove-Item -Path "$env:TEMPmacromaze.vbs" -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPpayload.txt" -ErrorAction SilentlyContinue