SOC Prime Bias: Crítico

16 Feb 2026 14:31 UTC

Operação MacroMaze: nova campanha APT28 usando ferramentas básicas e infraestrutura legítima

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Operação MacroMaze: nova campanha APT28 usando ferramentas básicas e infraestrutura legítima
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

APT28 (Fancy Bear) realizou uma operação de spear-phishing chamada Operação MacroMaze, visando organizações na Europa Ocidental e Central. A isca utilizava documentos do Word armados com macros que baixavam scripts adicionais e moviam dados roubados através de serviços legítimos de webhooks. A cadeia adere a ferramentas de baixo atrito — VBS, scripts em lote e Microsoft Edge iniciado em modo oculto ou sem cabeça — mantendo a infraestrutura no serviço público webhook.site.

Investigação

A Lab52 rastreou quatro variantes de macros entre setembro de 2025 e janeiro de 2026, observando mudanças iterativas no comportamento do dropper, persistência de tarefas agendadas e exfiltração via navegador. Os analistas destacaram indicadores recorrentes, incluindo campos INCLUDEPICTURE, nomes de arquivos no estilo GUID e automação baseada em SendKeys. Eles também extraíram artefatos, URLs e o fluxo específico de criação de tarefas agendadas usado para manter o acesso.

Mitigação

Desative a execução automática de macros no Office e aplique manuseio rigoroso de anexos no Outlook. Monitore a criação suspeita de tarefas agendadas e os lançamentos atípicos do Microsoft Edge em modo oculto ou fora da tela. Bloqueie ou alerte sobre o tráfego de saída para webhook.site e plataformas públicas de webhook similares. Use uma lista de permissões de aplicações para restringir a execução de arquivos VBS e de lotes desconhecidos.

Resposta

Se a atividade for detectada, isole o host, preserve o documento malicioso e artefatos relacionados e procure pela tarefa agendada criada e arquivos baixados. Capture a telemetria de rede para identificar pontos de exfiltração e remova quaisquer tarefas agendadas maliciosas. Realize uma análise forense para roubo de credenciais e notifique as partes interessadas. Atualize as detecções para cobrir os IOCs e padrões comportamentais observados.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A verificação prévia de Telemetria e Linha de Base deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e têm como objetivo gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa do Ataque & Comandos:

    Um macro malicioso no estilo APT28 é entregue via phishing. Quando o documento é aberto, a macro executa um pequeno VBScript que cria um WScript.Shell objeto. Este objeto é então usado para iniciar cmd.exe com uma carga útil que escreve um shell reverso PowerShell codificado em base-64 em um arquivo temporário e o executa. A sequência gera dois eventos de criação de processo que satisfazem a regra Sigma:

    1. wscript.exe (or cscript.exe) executa o VBScript contendo WScript.Shell.
    2. O mesmo VBScript chama WScript.Shell.Run "cmd.exe /c powershell -nop -w hidden -EncodedCommand …" que gera cmd.exe.

    O relacionamento pai-filho e a presença de WScript.Shell na linha de comando são os indicadores exatos que a regra procura.

  • Script de Teste de Regressão:

    # -------------------------------------------------------
    # Simulação do MacroMaze – inicia wscript.exe → cmd.exe
    # -------------------------------------------------------
    # 1. Crie um VBS temporário que use WScript.Shell para executar cmd.exe
    $vbsContent = @"
    Set sh = CreateObject("WScript.Shell")
    sh.Run "cmd.exe /c echo Payload malicioso executado > %TEMP%payload.txt"
    "@
    $vbsPath = "$env:TEMPmacromaze.vbs"
    $vbsContent | Set-Content -Path $vbsPath -Encoding ASCII
    
    # 2. Execute o VBS via wscript.exe (irá gerar a telemetria desejada)
    Start-Process -FilePath "wscript.exe" -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden
    
    # Opcional: pausar para permitir que o SIEM ingira eventos
    Start-Sleep -Seconds 5
    # -------------------------------------------------------
  • Comandos de Limpeza:

    # Remova o VBS temporário e o arquivo de payload
    Remove-Item -Path "$env:TEMPmacromaze.vbs" -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPpayload.txt" -ErrorAction SilentlyContinue