Zwischen Ende 2025 und Anfang 2025 entdeckten Cyber-Sicherheitsforscher eine neue Kampagne, die der Gruppe APT28 zugeschrieben wurde., auch in der Literatur als Fancy Bear oder Strontium identifiziert. Das LAB52 Geheimdienstteam der S2 Group nannte diese Operation MacroMaze und beschrieb es als Beispiel dafür, wie anspruchsvolle Akteure Ziele mit überraschend einfachen Werkzeugen und legitimen Dienstleistungen als Support-Infrastruktur erreichen können. Sie können den technischen Bericht von LAB52 für weitere Details auf ihrem offiziellen Blog konsultieren: Operation MacroMaze - LAB52.
Der Eintrag wurde gerichtet und gut mit eingebetteten Dokumenten bearbeitet, dass, wenn geöffnet, aktiviert eine automatische Sequenz, um zu überprüfen, ob der Empfänger mit der Datei interagiert hatte. Zu diesem Zweck nutzten die Angreifer ein gemeinsames Feld in Word-Dokumenten, das Feld INCLUSPICTURE, das den Prozessor beauftragt, ein Bild von einer entfernten URL wiederherzustellen. Indem Sie dieses Feld auf einen Web-Anfrage-Empfangsservice zeigen (z. Webseite), die Gegner erhielten die HTTP-Anfrage, wenn die Datei geöffnet war und mit diesem einfachen Anruf bestätigte, dass die Falle funktioniert hatte. Diese Verwendung der Ressource ist ähnlich wie die bekannten "Tracking-Pixel" im digitalen Marketing: eine externe Anfrage, die die Öffnung eines Elements offenbart und nützliche Metadaten für den Angreifer speichern kann - eine gut erforschte Technik in Richtlinien über Folgepixel wie die von Regentropfen.
Nachdem die Interaktion überprüft wurde, handelten die Dokumente als Tröpfchen: Sie enthielten Makros, die darauf ausgelegt waren, zusätzliche Stufen auszuführen, die die Beharrlichkeit feststellten und später geladen wurden. LAB52 beobachtete kleine Variationen in diesen Makros in den Monaten analysiert, aber eine gemeinsame Logik beibehalten: eine VBScript, die wiederum eine CMD-Datei gestartet, um programmierte Aufgaben zu erstellen und eine Batch-Datei zu schießen. Diese Kette von kleinen Gewinnen - VBScript, CMD und Batch - wurde kombiniert, um die Ausführung einer Nutzlast in HTML eingebettet in Base64, die von Microsoft Edge kodiert.
Der betriebsbereiteste Teil war die Verwendung des Browsers als Steuer- und Exfiltrationskanal.. In einer der Varianten wurde das codierte HTML in einem kopflosen Modus oder in einem Fenster aus dem Bildschirm ausgefahren, wodurch die Benutzeraufmerksamkeit vermieden wurde. Der renderisierte Inhalt kontaktierte erneut einen von den Angreifern kontrollierten Endpunkt, um Anweisungen zu erhalten, die Befehle auf dem kompromittierten Rechner ausgeführt, die Ausgabe erfasst und als HTML-Datei zurückgeschickt, die von einem Formular zur gleichen Art von Webhook-Service eingereicht wurde. Das heißt, sie nutzten die Standard-Funktionalität von HTML-Formularen, um Daten zu einem externen Dienst zu fahren, wodurch persistente Spuren auf Festplatte minimiert werden. Die Technik passt in Exfiltrationsmuster von Web-Services, die auf Wissensbasen wie dem MITRE ATT & CK-Rahmen diskutiert werden: T1567 - Exfiltration über Web Service.
LAB52 dokumentierte eine taktische Entwicklung in den Skripten: Die ersten Versionen wurden auf die "kopflose" Ausführung des Browsers gesetzt, während spätere Varianten auf die Tastatursimulation (SendKeys) und Taktiken zurückgegriffen wurden, um Dialogfenster und Sicherheitswarnungen zu vermeiden. Sie nahmen auch Versuche auf, die laufende Umgebung zu beherrschen, indem sie Edge-Prozesse schließen, um sicherzustellen, dass die bösartige Session exklusive Browser-Kontrolle hatte. Das heißt, es war nicht ein Versuch, komplexe Malware einzuführen, sondern native Dienstprogramme und öffentliche Dienste zu kanalisieren, um die Operationen niedrig zu halten.
Die technische und strategische Lehre ist klar: die Raffinesse hängt nicht immer von fortschrittlichen Werkzeugen ab, sondern von der Gestaltung des Angriffsflusses.. Die Kombination von Office-Makros, einfachen Skripten, einem modernen Browser wie Lauf-Engine und Drittanbieter-Dienste zur Orchestrierung von Telemetrie und Exfiltration - alle legitimen Elemente in sich - ermöglicht es einem Angreifer, eine Kette aufzubauen, die sehr schwer zu erkennen ist, ob die richtigen Signale nicht überwacht werden. Die Gruppen wie APT28 haben auch ein bewährtes Repertoire von Operationen gegen politische Ziele und Organisationen in Europa, etwas, das von Analysten und der Geheimdienstgemeinschaft dokumentiert wird: Referenzinformationen über die Gruppe finden Sie auf der Registerkarte MITRE ATT & CK: APT28 - MITRE.
Was können Organisationen tun, um das Risiko solcher Kampagnen zu reduzieren? Vorbeugung besteht darin, die automatische Ausführung von aktiven Inhalten in Dokumenten zu begrenzen, Standardmakros außer in kontrollierten Szenarien zu deaktivieren, Strategien einzurichten, die die Ausführung von externen Prozessen von Office-Anwendungen verhindern und ungewöhnliche ausgehende Anfragen überwachen, die von Angreifern als Proxy genutzte Dritte-Dienste ansprechen. Es ist auch wichtig, die Verhaltenserkennung in Endpunkten zu implementieren, um Muster zu identifizieren, wie die Erstellung von unerwarteten geplanten Aufgaben, Edges Ausführung durch ungewöhnliche Prozesse oder die Erzeugung von temporären HTML-Dateien mit codierten Inhalten. Um die Fähigkeiten des Gegners und die Techniken, die er verwendet, besser zu verstehen, sind die Repositorien und technischen Publikationen der Gemeinschaft ein guter Ausgangspunkt, neben dem Bericht LAB52 selbst erwähnt.
Operation Macro Maze zeigt, dass grundlegende Sicherheitshygiene entscheidend bleibt:: Einschränkung von Makro, Anwendung von Netzwerk-Segmentation, Aufzeichnung und Analyse von ausgehenden Anträgen und Erzieher von Benutzern über Speed-Phishing sind keine glamourösen Maßnahmen, sondern sind die effektivsten bei Kampagnen, die auf der Kombination von Social Engineering und der Wiederverwendung von legitimen Dienstleistungen basieren. Wenn Sie vertiefen möchten, wie Felder wie INCLUDING PICTURE in Microsoft-Dokumenten verwendet werden, ist offizielle Dokumentation über API- und Word-Felder nützlich: INCLUDING PICTURE - Microsoft Docs.
Kurz gesagt, die Bedrohung entwickelt sich weiter und basiert auf operativer Kreativität und nicht auf technischer Komplexität. Das ist ein Signal für Administratoren und Sicherheitsbeamte: die demütigsten Teile der Umgebung zu überwachen - ein Dokument, ein kleines Skript oder ein HTTP-Anruf an einen öffentlichen Dienst - kann den Unterschied zwischen dem Erkennen einer Störung in der Zeit oder dem Verlust der Kontrolle eines kritischen Teams machen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...