ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Связанный с Россией государственный злоумышленник, отслеживаемый как APT28, был связан с новой кампанией, нацеленной на конкретные организации в Западной и Центральной Европе.

По данным группы LAB52 по анализу угроз S2 Grupo, эта деятельность велась в период с сентября 2025 года по январь 2026 года. Ей было присвоено кодовое название «Operation MacroMaze». «Кампания основана на использовании базовых инструментов и уязвимостей легитимных сервисов для похищения инфраструктуры и данных», — сообщила компания, занимающаяся кибербезопасностью.

Цепочки атак используют фишинговые электронные письма в качестве отправной точки для распространения приманных документов, которые содержат общий структурный элемент в своем XML — поле с именем «INCLUDEPICTURE», которое указывает на URL-адрес webhook[.]site, на котором размещено изображение JPG. Это, в свою очередь, приводит к тому, что при открытии документа файл изображения загружается с удаленного сервера.

Другими словами, этот механизм действует как маяк, подобный пикселю отслеживания, который при открытии документа запускает исходящий HTTP-запрос к URL-адресу webhook[.]site. Оператор сервера может регистрировать метаданные, связанные с запросом, подтверждая, что документ действительно был открыт получателем.

LAB52 сообщила, что в период с конца сентября 2025 года по январь 2026 года было выявлено несколько документов с немного измененными макросами, все из которых функционируют как дропперы для установления контроля над скомпрометированным хостом и доставки дополнительных полезных нагрузок.

«Хотя основная логика всех обнаруженных макросов остается неизменной, скрипты демонстрируют эволюцию методов обхода, начиная от «безусловного» запуска браузера в старой версии до использования имитации клавиатуры (SendKeys) в новых версиях для потенциального обхода запросов безопасности», — пояснила испанская компания по кибербезопасности.

Макрос предназначен для выполнения скрипта Visual Basic Script (VBScript) с целью перехода инфекции на следующий этап. Скрипт, со своей стороны, запускает файл CMD для установления постоянного присутствия через запланированные задачи и запускает пакетный скрипт для рендеринга небольшой полезной нагрузки HTML с кодировкой Base64 в Microsoft Edge в режиме без интерфейса, чтобы избежать обнаружения, получить команду из конечной точки webhook[.]site, выполнить ее, захватить ее результат и передать его в другой экземпляр webhook[.]site в виде HTML-файла.

Был обнаружен второй вариант пакетного скрипта, который избегает безголовного выполнения в пользу перемещения окна браузера за пределы экрана, после чего агрессивно завершает все другие процессы браузера Edge, чтобы обеспечить контролируемую среду.

«Когда полученный HTML-файл отображается в Microsoft Edge, форма отправляется, в результате чего собранный вывод команды передается на удаленную конечную точку webhook без взаимодействия с пользователем», — сообщили в LAB52. «Эта техника передачи данных через браузер использует стандартные функции HTML для передачи данных, сводя к минимуму обнаруживаемые артефакты на диске».

«Эта кампания доказывает, что простота может быть мощным оружием. Злоумышленник использует очень простые инструменты (пакетные файлы, небольшие программы запуска VBS и простой HTML), но тщательно их комбинирует, чтобы максимально скрыть свои действия: перемещает операции в скрытые или выведенные за пределы экрана сеансы браузера, очищает артефакты и передает доставку полезной нагрузки и экстракцию данных широко используемым службам веб-хуков».