Ловкость рук и никакого мошенничества (почти). Хакеры научились нажимать за вас кнопки в системе
NewsMakerЗащитные алгоритмы пасуют, когда вредоносный код имитирует человека.
Группировка APT28 провела серию целевых атак на организации в Западной и Центральной Европе, применив простую, но продуманную схему с макросами и веб-хуками. Кампанию, получившую название «Operation MacroMaze», зафиксировала команда LAB52 компании S2 Grupo. По их данным, активность продолжалась с сентября 2025 года по январь 2026 года и строилась на сочетании базовых инструментов и легитимных онлайн-сервисов.
Атаки начинались с писем, адресованных конкретным сотрудникам. Вложения содержали документ с элементом XML под названием «INCLUDEPICTURE», который ссылался на изображение, размещённое на «webhook[.]site». При открытии файла происходил автоматический HTTP-запрос к удалённому серверу. Таким образом злоумышленники получали сигнал о том, что документ открыт, и фиксировали технические данные запроса. По сути, механизм работал как отслеживающий пиксель , позволяя подтвердить интерес к приманке без дополнительных действий со стороны жертвы.
С конца сентября специалисты выявили несколько вариантов документов с модифицированными макросами . Все они выполняли роль загрузчика, закреплялись в системе и загружали дополнительные компоненты. При этом логика оставалась прежней, а способы обхода защиты менялись. Если ранние версии запускали браузер Microsoft Edge в скрытом режиме без интерфейса, то более поздние начали имитировать нажатия клавиш через функцию SendKeys, чтобы обходить предупреждения системы безопасности.
Макрос запускал VBScript , который, в свою очередь, активировал командный файл. Тот создавал задачу в планировщике для закрепления в системе и запускал batch-скрипт. Последний открывал небольшой HTML-файл с Base64-содержимым в Microsoft Edge, получал команду с одного webhook-адреса, выполнял её и отправлял результат на другой сервер в виде HTML-документа. Во втором варианте браузер не переводили в полностью скрытый режим, а перемещали его окно за пределы экрана и завершали все остальные процессы Edge, чтобы контролировать среду выполнения.
После отображения HTML-файла происходила автоматическая отправка формы, и результат выполнения команды уходил на удалённый сервер без участия пользователя. Такой подход позволял передавать данные через стандартные механизмы браузера и минимизировать следы на диске.
В LAB52 подчёркивают, что кампания показывает: простые инструменты при грамотной организации могут быть весьма эффективны. Злоумышленники использовали обычные batch-файлы, небольшие скрипты на VBScript и простой HTML-код, однако скрывали операции в невидимых или вынесенных за экран сессиях браузера, удаляли следы присутствия и использовали популярные сервисы веб-хуков для доставки команд и кражи данных.
Группировка APT28 провела серию целевых атак на организации в Западной и Центральной Европе, применив простую, но продуманную схему с макросами и веб-хуками. Кампанию, получившую название «Operation MacroMaze», зафиксировала команда LAB52 компании S2 Grupo. По их данным, активность продолжалась с сентября 2025 года по январь 2026 года и строилась на сочетании базовых инструментов и легитимных онлайн-сервисов.
Атаки начинались с писем, адресованных конкретным сотрудникам. Вложения содержали документ с элементом XML под названием «INCLUDEPICTURE», который ссылался на изображение, размещённое на «webhook[.]site». При открытии файла происходил автоматический HTTP-запрос к удалённому серверу. Таким образом злоумышленники получали сигнал о том, что документ открыт, и фиксировали технические данные запроса. По сути, механизм работал как отслеживающий пиксель , позволяя подтвердить интерес к приманке без дополнительных действий со стороны жертвы.
С конца сентября специалисты выявили несколько вариантов документов с модифицированными макросами . Все они выполняли роль загрузчика, закреплялись в системе и загружали дополнительные компоненты. При этом логика оставалась прежней, а способы обхода защиты менялись. Если ранние версии запускали браузер Microsoft Edge в скрытом режиме без интерфейса, то более поздние начали имитировать нажатия клавиш через функцию SendKeys, чтобы обходить предупреждения системы безопасности.
Макрос запускал VBScript , который, в свою очередь, активировал командный файл. Тот создавал задачу в планировщике для закрепления в системе и запускал batch-скрипт. Последний открывал небольшой HTML-файл с Base64-содержимым в Microsoft Edge, получал команду с одного webhook-адреса, выполнял её и отправлял результат на другой сервер в виде HTML-документа. Во втором варианте браузер не переводили в полностью скрытый режим, а перемещали его окно за пределы экрана и завершали все остальные процессы Edge, чтобы контролировать среду выполнения.
После отображения HTML-файла происходила автоматическая отправка формы, и результат выполнения команды уходил на удалённый сервер без участия пользователя. Такой подход позволял передавать данные через стандартные механизмы браузера и минимизировать следы на диске.
В LAB52 подчёркивают, что кампания показывает: простые инструменты при грамотной организации могут быть весьма эффективны. Злоумышленники использовали обычные batch-файлы, небольшие скрипты на VBScript и простой HTML-код, однако скрывали операции в невидимых или вынесенных за экран сессиях браузера, удаляли следы присутствия и использовали популярные сервисы веб-хуков для доставки команд и кражи данных.