Die russische Hackergruppe APT28 hat zwischen September 2025 und Januar 2026 europäische Organisationen mit einer raffinierten Makro-Malware-Kampagne angegriffen, die Webhook-Services zur Kommunikation und Datenabfischung missbraucht.
Die russlandgelenkte Hackergruppe APT28 steht hinter einer gezielten Angriffskampagne gegen Institutionen in West- und Mitteleuropa. Wie das Sicherheitsunternehmen S2 Grupo durch sein LAB52-Team herausgefunden hat, lief die Operation MacroMaze genannte Kampagne von September 2025 bis Januar 2026. Die Angreifer setzten dabei auf einfache Werkzeuge und missbrauchten legitime Dienste für ihre Infrastruktur und zum Abgriff von Daten.
Das Angriffsszenario beginnt mit klassischen Spear-Phishing-E-Mails, über die manipulierte Dokumente verteilt werden. Diese enthalten in ihrer XML-Struktur ein Feld namens “INCLUDEPICTURE”, das auf eine webhook[.]site-URL verweist und dort ein JPG-Bild lädt. Sobald das Dokument geöffnet wird, wird das Bild vom Remote-Server abgerufen – ein Mechanismus, der wie ein Tracking-Pixel funktioniert und bestätigt, dass die Datei tatsächlich vom Empfänger geöffnet wurde.
Zwischen Ende September 2025 und Januar 2026 identifizierten die Sicherheitsforscher mehrere Dokumente mit leicht veränderten Makros, die alle als Dropper-Malware fungieren und zusätzliche Schadprogramme auf dem befallenen System installieren. Obwohl die grundlegende Logik konsistent bleibt, zeigen die Skripte eine Weiterentwicklung bei den Ausweichmanövern: Von der “headless”-Browserausführung in älteren Versionen bis hin zur Nutzung von Tastaturimulation (SendKeys) in neueren Varianten zur Umgehung von Sicherheitsabfragen.
Das Makro startet zunächst ein Visual Basic Script (VBScript), das die Infektion in die nächste Phase überführt. Dieses Script führt dann eine CMD-Datei aus, die Persistenz durch geplante Tasks etabliert und ein Batch-Skript startet. Dieses rendert eine kleine Base64-kodierte HTML-Payload in Microsoft Edge im Headless-Modus ab, um Sicherheitssystemen zu entgehen. Danach werden Befehle vom webhook[.]site-Endpunkt abgerufen, ausgeführt und die Ausgabe in Form einer HTML-Datei an eine weitere webhook[.]site-Instanz übertragen.
Eine zweite Variante des Batch-Skripts verzichtet auf die unsichtbare Ausführung und verschiebt das Browser-Fenster stattdessen aus dem sichtbaren Bereich, während gleichzeitig alle anderen Edge-Prozesse aggressiv beendet werden, um eine vollständig kontrollierte Umgebung zu schaffen.
Wenn die HTML-Datei von Microsoft Edge gerendert wird, wird das Formular automatisch abgesendet und die gesammelten Daten zur Remote-Webhook übertragen – ohne dass der Nutzer etwas bemerkt. Diese Browser-basierte Exfiltrationstechnik nutzt Standard-HTML-Funktionen und hinterlässt kaum nachweisbare Spuren auf der Festplatte.
Wie LAB52 betont, beweist diese Kampagne, dass Einfachheit mächtig sein kann. APT28 setzt auf sehr grundlegende Werkzeuge wie Batch-Dateien, kleine VBS-Starter und einfaches HTML – kombiniert diese aber mit großer Sorgfalt, um maximale Heimlichkeit zu erreichen. Die Operationen laufen in versteckten oder unsichtbaren Browser-Sitzungen ab, Spuren werden bereinigt, und sowohl Payload-Lieferung als auch Datenabfluss werden über weit verbreitete Webhook-Services ausgelagert.
Quelle: The Hacker News