Киберпространство вновь стало ареной для высокоцелевых операций, где изощренность не всегда означает сложность. Эксперты лаборатории LAB52 выявили кампанию под кодовым названием «Operation MacroMaze», активную с сентября 2025 года по январь 2026 года и нацеленную на организации в Западной и Центральной Европе. Особенностью этой атаки является использование предельно простых инструментов, которые, однако, выстроены в тщательно продуманную цепочку компрометации. Аналитики с высокой долей уверенности связывают эту активность с группировкой APT28, также известной как Fancy Bear, Forest Blizzard или FROZENLAKE. Эта кампания наглядно демонстрирует, как базовые техники, сочетание социальной инженерии и эксплуатация легитимных веб-сервисов могут обеспечить злоумышленникам эффективное проникновение в системы.
Описание
Начальной точкой атаки служит фишинг с использованием документов Microsoft Word, замаскированных под официальные бумаги. В частности, был обнаружен документ, имитирующий повестку дня, якобы выпущенную Министерством президентства, правосудия и отношений с судами Испании. При этом злоумышленники проявили значительную осмотрительность, взяв за основу реальные резолюции, опубликованные на официальном сайте La Moncloa, и искусно их модифицировав.
Ключевым элементом во всех проанализированных документах стало скрытое поле INCLUDEPICTURE в XML-структуре файла, которое заставляет Word при открытии обращаться к удаленному URL на сервисе webhook[.]site. Это обращение выполняет функцию «маяка» или трекера, позволяя операторам кампании фиксировать факт открытия документа по метаданным HTTP-запроса, не оставляя на машине жертвы явных следов.
Основная вредоносная нагрузка доставляется с помощью макросов, встроенных в документы. Всего обнаружено четыре их варианта, эволюционировавших в течение кампании. Их основная задача - действовать как «дропперы», то есть создавать первоначальное закрепление в системе путем сброса на диск шести файлов. Эти файлы, включая скрипты на VBS, BAT и CMD, а также обертки для извлечения данных в форматах HTM и XHTML, размещаются в папке пользователя (%USERPROFILE%) под именами, похожими на глобальные уникальные идентификаторы (GUID). При этом сами макросы активно используют технику разделения строк, разбивая, например, вызов «WScript.Shell» на несколько фрагментов, чтобы обойти примитивные сигнатуры антивирусов.
Наиболее ранний вариант, датированный сентябрем 2025 года, после выполнения своей задачи очищал документ, удаляя все элементы управления содержимым и меняя цвет текста на черный, вероятно, чтобы скрыть следы вмешательства. Более поздние версии, обнаруженные в октябре и декабре, отказались от этой чистки, но добавили показ фальшивого сообщения об ошибке Microsoft Word, вводящего пользователя в заблуждение о якобы поврежденном файле. Самый современный вариант, выявленный в январе 2026 года, добавил манипуляции с пользовательским интерфейсом. Перед выводом ошибки он с помощью команды SendKeys имитировал нажатия клавиш «Вниз», «Enter» и «Вверх». Эта техника, соответствующая тактике MITRE ATT&CK T1056.002 «Input Capture: GUI Input Capture», часто используется для автоматического закрытия стандартного предупреждения безопасности Word «Включить содержимое», что значительно повышает процент успешных заражений без ведома пользователя.
После активации макроса запускается цепочка VBS- и CMD-скриптов, основная цель которых - обеспечить постоянное присутствие в системе. Для этого динамически создается и регистрируется запланированная задача Windows (Scheduled Task). Скрипт генерирует XML-определение задачи на лету, сохраняет его на диск, импортирует с помощью утилиты schtasks, после чего немедленно удаляет все временные файлы, включая себя. Задача настраивается на периодическое выполнение полезной нагрузки. Интересно, что интервал выполнения менялся от версии к версии: с каждых 30 минут в первом варианте до 61 минуты в последних, что может быть попыткой усложнить обнаружение по регулярной активности. Данный метод соответствует техникам MITRE ATT&CK T1053.005 «Scheduled Task/Job: Scheduled Task».
Кульминацией цепочки является выполнение одного из двух вариантов пакетных (BAT) файлов, ответственных за сбор и извлечение данных. Несмотря на различия в реализации, оба сценария следуют общей многоэтапной логике. Сначала они очищают временные артефакты, затем с помощью браузера Microsoft Edge декодируют и отображают полезную нагрузку в формате Base64, размещенную на webhook[.]site. Эта нагрузка представляет собой фрагменты, которые собираются в промежуточный CMD-файл. После его выполнения результат (предположительно, базовая информация о системе: IP-адрес, содержимое каталогов) перехватывается и встраивается в итоговый HTML-файл.
Различия между двумя версиями BAT-файлов показывают, как злоумышленники балансируют между скрытностью и надежностью. Первый вариант делает ставку на минимальную заметность. Он использует полностью фоновый (headless) режим Edge и точечно завершает процессы браузера по заголовку окна, стараясь не нарушать работу других сеансов. Второй вариант, напротив, ориентирован на гарантированное выполнение. Он явно убивает все процессы Edge до и после работы, а для скрытия окна браузера не использует headless-режим, а перемещает окно размером 1x1 пиксель за пределы экрана. Кроме того, он добавляет параметр для игнорирования ошибок сертификатов, что повышает устойчивость к проблемам с шифрованием на стороне жертвы.
Финальное извлечение данных происходит хитроумно и почти незаметно. Собранные системные данные встраиваются в HTML-форму с автозаполнением, которая при открытии файла в Edge автоматически отправляет POST-запрос на другой инстанс webhook[.]site. Таким образом, сам факт передачи данных маскируется под обычный веб-трафик браузера, что затрудняет его обнаружение сетевыми системами защиты (IDS/IPS). После выполнения все временные артефакты скриптов удаляются, оставляя в системе лишь запланированную задачу.
Итогом кампании «MacroMaze» становится вывод о том, что мощь кибератаки не всегда коррелирует со сложностью инструментария. APT28 использовала элементарные скрипты, стандартные возможности Office и общедоступные сервисы для получения данных, но выстроила их в отлаженную и скрытную цепочку. Акцент на кратковременные, малозаметные вторжения с использованием одноразовой инфраструктуры webhook-сервисов усложняет как обнаружение в реальном времени, так и последующее расследование. Для специалистов по информационной безопасности этот инцидент служит напоминанием, что даже базовые векторы атак, такие как фишинг с макросами, остаются крайне эффективными в руках целеустремленного противника. Ключевыми мерами защиты в данном случае являются строгий запрет на выполнение макросов из непроверенных источников, мониторинг создания нестандартных запланированных задач, анализ необычных исходящих HTTP-запросов от клиентских станций и постоянное обучение пользователей распознаванию социальной инженерии.
Индикаторы компрометации
URLs
- http://webhook.site/62114596-33f5-47fb-9012-0223529e5a13/docopened.jpg
- http://webhook.site/68d68fc7-aa94-4f2d-a727-d18fb40b0d69/docopened.jpg
- http://webhook.site/c29905ab-e5fa-446c-8958-4eab15d8fb80/docopened.jpg
- http://webhook.site/c2e1be16-401b-4f60-8a0f-276b30417fda/docopened.jpg
- http://webhook.site/d63049e3-1cbe-474b-9005-237517af53a7/docopened.jpg
- https://webhook.site/4e6cf717-e4d6-4f40-9f2d-134196fa5e7d
- https://webhook.site/5744c020-a8d9-4755-abfb-cde6ccd450af
- https://webhook.site/5dbed3be-f1c9-41e5-b5d5-e961d08b5fba
- https://webhook.site/a3f4e990-0b2a-4f6a-a02e-c573005de3ee
- https://webhook.site/a72d8905-b15f-4e95-9a8f-5e4bb7dc9b3d
SHA256
- 5486107244ecaa3a0824895fa432827cc12df69620ca94aaa4ad75f39ac79588
- 58cfb8b9fee1caa94813c259901dc1baa96bae7d30d79b79a7d441d0ee4e577e
- 9097d9cf5e6659e869bf2edf766741b687e3d8570036d853c0ca59ae72f9e9fc
- b0f9f0a34ccab1337fbcca24b4f894de8d6d3a6f5db2e0463e2320215e4262e4
- c3b617e0c6b8f01cf628a2b3db40e8d06ef20a3c71365ccc1799787119246010
- df60fa6008b1a0b79c394b42d3ada6bab18b798f3c2ca1530a3e0cb4fbbbe9f6
- ed8f20bbab18b39a67e4db9a03090e5af8dc8ec24fe1ddf3521b3f340a8318c1
