«Русских хакеров» обвинили в атаках на европейские организации с использованием вредоносного ПО на основе веб-хуков

С сентября 2025-го до января 2026-го считающаяся пророссийской кибергруппа APT28 атакует организации Западной и Центральной Европы. Исследователи LAB52 компании S2 Grupo назвали волну атак «Operation MacroMaze» и описали применение хакерами простых приёмов с опорой на легальные сервисы, что снижает порог обнаружения.

Стартовый пункт каждой операции — фишинговое письмо. Во вложенном документе Word скрыт XML-фрагмент INCLUDEPICTURE, отправляющий запрос на домен «веб-перехватчик[.]сайт». После открытия файл скачивает невидимое JPG-изображение.

Такой пиксель подтверждает просмотр и фиксирует метаданные, включая IP-адрес и агент браузера. Таким образом злоумышленники получают точное время открытия и характеристики компьютера адресата.

LAB52 нашла серию приманок с модифицированными макросами, датированных концом сентября 2025-го. Каждый макрос загружает скрипт VBScript, запускающий CMD-файл для закрепления через планировщик задач. Следующий шаг — выполнение миниатюрного HTML, закодированного в Base64, в Edge без интерфейса. После запуска браузер обращается к управляющему серверу, получает команду, выполняет её, собирает результат, отправляет отчёт на другой экземпляр «веб-перехватчика[.]сайт» в виде HTML-документа.

Аналитики отмечают эволюцию обходов защит: ранние версии применяли «безголовый» режим, свежие используют SendKeys, имитируя ввод с клавиатуры и обходя всплывающие окна безопасности. Бесшумная передача данных через обычные HTTP-запросы снижает вероятность детектирования системами мониторинга сети.

Исходный набор инструментов прост, зато скорость развертывания высокая. Тактика «загрузчик плюс лёгкая полезная нагрузка» позволяет группе менять финальный malware без замены всей цепочки. Эксперты предупреждают, что корпоративные фильтры, ориентированные на редкие эксплойты, могут пропустить MacroMaze: документ выглядит штатно, сетевой трафик — тоже.

Сложность защиты усиливается тем, что в атаках отсутствуют свежие уязвимости. Вся схема держится на социальной инженерии и штатных возможностях Office. Значит, главная контрмера — повышение осведомлённости сотрудников, плюс жёсткое блокирование макросов и отслеживание исходящих обращений к неизвестным доменам.