北约目标警惕!俄APT28发起“迷宫行动”,用Word宏+网页钩子偷数据,低技术却高隐蔽
好的,我现在需要帮用户总结一篇文章的内容,控制在100字以内。首先,我得仔细阅读文章,理解其主要内容和重点。 文章主要讲的是俄罗斯关联的APT28组织发起了代号为“迷宫行动”的网络攻击。攻击对象是西欧、中东欧国家以及北约成员国的关键行业,如国防和能源。攻击手段比较特别,他们使用了Word宏、批处理文件和webhook等低技术工具,构建了一个隐蔽的数据窃取通道。这种方法让传统的安全防护措施难以察觉和防御。 接下来,我需要提取关键信息:攻击者是谁?APT28;攻击时间?2025年9月至2026年1月;目标地区和行业;使用的工具和技术;攻击效果如何。这些是总结的重点。 然后,我要把这些信息浓缩成一句话,确保不超过100字,并且不使用“文章内容总结”之类的开头。直接描述事件即可。 最后,检查一下是否涵盖了所有关键点:APT28、时间、目标地区、工具和技术、攻击效果。确保语言简洁明了。 </think> 俄罗斯关联的APT28组织发起代号“迷宫行动”的定向攻击,针对西欧、中东欧及北约成员国的国防、能源等关键行业。该组织利用Word宏、批处理文件和webhook等低技术工具构建隐蔽数据窃取通道,成功绕过传统安全防护。 2026-3-10 03:59:0 Author: www.freebuf.com(查看原文) 阅读量:2 收藏

freeBuf

主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规

俄罗斯关联APT组织APT28(别名“奇幻熊”Fancy Bear)再出狠招!2025年9月至2026年1月,该组织发起代号“MacroMaze(迷宫行动)”的定向攻击,瞄准西欧、中东欧多国实体,甚至波及北约成员国的国防、能源等关键行业。与以往依赖高级漏洞不同,此次攻击竟用Word宏、批处理文件等“低技术工具”,搭配webhook(网页钩子)实现隐蔽数据窃取,堪称“简单招式玩出高级套路”,让传统防护防不胜防。

作为活跃近20年的“国家级黑客组”,APT28此次行动再次证明:网络攻击的杀伤力,从来不是技术复杂度,而是对场景和防护漏洞的精准拿捏。

攻击核心:Webhook+Word宏,打造“隐形窃密通道”

APT28在“迷宫行动”中,创造性地将webhook服务与传统宏病毒结合,构建了一套“追踪-植入-窃密”的完整闭环,全程隐蔽无感知:

  • Webhook的关键作用:攻击者利用webhook[.]site这类合法服务,搭建C2(命令控制)通道和数据外泄出口。webhook本身是正常的网页开发工具,用于接收和转发HTTP请求,其流量与普通网页通信无差别,能轻松绕过防火墙的关键词拦截。
  • Word宏的“破门”角色:攻击的核心载体是恶意Word文档,内置经过混淆的宏代码。这些文档伪装成“政府会议议程”“官方通知”等正规文件(部分标注西班牙文政府机构名称),极具迷惑性,目标用户很难察觉异常。
  • 无 malware 窃密逻辑:全程不依赖复杂恶意软件,仅用VBScript、BAT批处理、HTML等基础工具,通过组合调用实现攻击目的,让依赖恶意代码特征检测的安全工具形同虚设。

攻击链拆解:5步走完“隐形窃密”流程

“迷宫行动”的攻击链设计简洁却极具隐蔽性,从打开文档到数据外泄,全程无弹窗、无提示,用户完全察觉不到:

  1. 钓鱼投递:伪装官方文档诱打开
    攻击者通过鱼叉式钓鱼邮件,发送伪装成政府会议文件、官方通知的恶意Word文档,邮件诱饵贴合目标区域的工作场景,针对性极强。

  2. 追踪确认:“隐形像素”标记受害者
    文档内置XML代码中的“INCLUDEPICTURE”字段,会指向webhook[.]site上的一张名为docopened.jpg的图片。用户打开文档并更新字段时,Word会自动向该URL发送HTTP请求,相当于给攻击者发送“目标已上钩”的信号,还会泄露设备IP、文档打开时间等元数据。

  3. 宏病毒触发:释放多文件构建攻击环境
    用户启用宏后,恶意代码会在%USERPROFILE%文件夹下,释放VBS、BAT、CMD、HTM、XHTML等6个文件,文件名采用GUID格式(类似系统文件命名),隐藏在用户目录中不易被发现。同时,宏代码通过字符串拼接隐藏关键命令,规避静态检测。

  4. 持久化+绕过防护:扎根系统不被清
    VBScript触发后会创建计划任务,确保设备重启后攻击仍能继续;针对安全提示,攻击者还设计了Fake Word错误弹窗、SendKeys自动操作等功能,自动绕过系统安全拦截。后续的BAT脚本分两种模式:一种用Edge浏览器无头模式(无界面)运行,另一种直接隐藏浏览器窗口,还会强制关闭干扰进程、抑制证书错误提示,确保攻击流程不中断。

  5. 数据窃取+外泄:HTML表单偷偷发数据
    CMD脚本会收集设备IP地址、目录列表、系统环境信息等敏感数据,随后与HTM模板、XHTML片段拼接成完整HTML文件。当Edge浏览器渲染该文件时,内置的自动提交表单会通过POST请求,将窃取的数据通过webhook[.]site端点外传,全程无用户交互,磁盘上几乎不留痕迹。

APT28的“低技术高 craft”:为何难防?

这场攻击没有复杂的漏洞利用、没有新型恶意软件,却让众多欧洲实体中招,核心在于APT28把“简单工具用到了极致”:

  • 工具合法化:所有攻击组件(Word宏、批处理、HTML、Edge浏览器)都是系统或常用软件自带功能,无恶意特征,传统杀毒软件无法识别;
  • 流量隐蔽化:数据通过webhook服务传输,HTTP请求与正常网页访问无差别,防火墙难以区分恶意流量;
  • 操作无痕化:文件释放到用户目录、用计划任务持久化、攻击后清理痕迹,整个过程几乎不留下异常日志,溯源难度极大;
  • 适配性强:攻击从2025年9月到2026年1月持续迭代,宏病毒变体不断优化,从简单清理痕迹升级到自动绕过防护,应对不同系统环境。

值得一提的是,APT28作为俄罗斯GRU(军事情报总局)下属部队运营的组织,历史劣迹斑斑——参与2016年美国大选攻击、长期瞄准各国政府和军事机构,此次“迷宫行动”与1月曝光的“Neusploit行动”(利用Office漏洞CVE-2026-21509)形成呼应,可见其正通过多套攻击手段,持续对欧洲目标施压。

紧急防护指南:4招阻断“低技术攻击”

面对这类“无 malware 、靠工具组合”的攻击,企业和个人需跳出“依赖病毒库检测”的思维,从行为和场景入手防护:

  1. 严控Word宏启用:从源头阻断
    禁用非必要的Office宏功能,对来自外部的Word文档,一律默认禁用宏;企业可通过组策略限制宏的运行权限,仅允许信任来源的文档启用宏。

  2. 监控异常文件与进程

  • 排查用户目录(%USERPROFILE%)中是否有GUID命名的可疑VBS、BAT文件;
  • 监控Edge浏览器的无头模式运行、隐藏窗口启动等异常行为,以及计划任务的异常创建。

  1. 拦截webhook相关恶意通信
    封禁webhook[.]site等已知恶意域名,同时监控向不明webhook端点的HTTP POST请求,尤其是来自浏览器的批量数据传输。

  2. 警惕钓鱼文档:核实来源再打开
    收到标注“政府文件”“会议通知”的陌生邮件附件,先通过官方渠道核实发件人身份,不轻易打开附件,更不随意启用宏。

对涉及欧洲业务、尤其是北约相关的企业和机构,需重点加强防护,定期排查异常网络通信和文件,避免成为APT28的下一个目标。

本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)


文章来源: https://www.freebuf.com/articles/es/473058.html
如有侵权请联系:admin#unsafe.sh