APT28 таргетираше европски субјекти користејќи макро-малициозен софтвер базиран на webhook.

APT28, државно спонзориран актер поврзан со Русија, е поврзан со нова кампања насочена кон специфични субјекти во Западна и Централна Европа.

Активноста, според тимот за разузнавање закани LAB52 на S2 Grupo, била активна помеѓу септември 2025 и јануари 2026 година. Кампањата е кодно именувана како Operation MacroMaze. „Кампањата се потпира на основни алатки и злоупотреба на легитимни сервиси за инфраструктура и ексфилтрација на податоци“, соопшти компанијата за сајбер безбедност.

Нападите започнуваат со spear-phishing е-пораки кои дистрибуираат мамечки документи. Овие документи содржат заеднички структурен елемент во нивниот XML – поле наречено „INCLUDEPICTURE“ кое укажува на webhook[.]site URL што хостира JPG слика. Кога документот ќе се отвори, автоматски се презема сликата од оддалечениот сервер.

Со други зборови, овој механизам функционира како beacon (сигнален механизам) сличен на tracking pixel, кој активира излезно HTTP барање кон webhook[.]site URL веднаш по отворањето на документот. Операторот на серверот може да ги евидентира метаподатоците поврзани со барањето и да потврди дека примачот навистина го отворил документот.

LAB52 идентификувал повеќе документи со малку изменети макроа во периодот од крајот на септември 2025 до јануари 2026 година. Сите тие функционираат како dropper – односно воспоставуваат почетна контрола врз компромитираниот систем и испорачуваат дополнителен малициозен товар.

„Иако основната логика на сите детектирани макроа останува конзистентна, скриптите покажуваат еволуција во техниките за избегнување детекција – од ‘headless’ извршување на прелистувачот во постарите верзии до користење симулација на тастатура (SendKeys) во поновите верзии за потенцијално заобиколување на безбедносните предупредувања“, објаснува шпанската компанија.

Макрото е дизајнирано да изврши Visual Basic Script (VBScript) со цел инфекцијата да премине во следната фаза. Скриптата потоа стартува CMD датотека за воспоставување перзистентност преку закажани задачи (scheduled tasks) и активира batch скрипта која прикажува мал HTML payload кодиран во Base64 во Microsoft Edge во headless режим за да се избегне детекција. Потоа презема команда од webhook[.]site endpoint, ја извршува, го снима излезот и го ексфилтрира до друга webhook[.]site инстанца во форма на HTML датотека.

Втора варијанта на batch скриптата избегнува headless извршување и наместо тоа го поместува прозорецот на прелистувачот надвор од екранот, а потоа агресивно ги затвора сите други процеси на Edge за да обезбеди контролирана средина.

„Кога генерираната HTML датотека ќе се прикаже во Microsoft Edge, формуларот автоматски се испраќа, со што собраниот излез од командата се ексфилтрира кон оддалечениот webhook endpoint без интеракција од корисникот“, соопшти LAB52. „Оваа техника за ексфилтрација базирана на прелистувач користи стандардна HTML функционалност за пренос на податоци, минимизирајќи траги на диск.“

„Оваа кампања покажува дека едноставноста може да биде моќна. Напаѓачот користи многу основни алатки (batch датотеки, мали VBS лансери и едноставен HTML), но ги организира внимателно за да ја максимизира прикриеноста: префрлање на операциите во скриени или off-screen сесии на прелистувачот, чистење на траги и користење широко распространети webhook сервиси за испорака на payload и ексфилтрација на податоци.“

Извори:

• The Hacker News – APT28 Targeted European Entities Using Webhook-Based Macro Malware The Hacker News