- APT28(Fancy Bear)は2025年9月からの「Operation MacroMaze」を実行していると報告されている
- マクロが含まれたWordドキュメント付きのスピアフィッシングメールが情報盗難ツールのインストールに使用されている
- 攻撃チェーンはシンプルなスクリプトとHTMLに依存し、ステルス性と永続性を最大化している
APT28は、Fancy BearまたはSofacyとしても知られる悪名高いロシア国家支援ハッキング集団で、西部および中央ヨーロッパの「特定の組織」を情報盗難ツールで標的にしていることが確認されている。
新しく発表されたレポートで、S2 Grupoのセキュリティ研究者Lab52は、2025年9月下旬から2026年1月を通じて継続している「Operation MacroMaze」について詳述した。
キャンペーンは、極度にパーソナライズされたスピアフィッシングメールから始まる。トピックと内容は異なるが、ほとんどが外交的なテーマに関連している。1つの事例では、研究者たちは公式外交日程の微妙に変更されたコピーが配布されているのを見たと述べている。
Wordドキュメントとマクロ
メールはマクロが含まれたMicrosoft Office Wordドキュメント付きで到着する。マクロは、Microsoft Wordの内部で作成でき、反復的なタスクを自動化できる小さなプログラムまたはスクリプトである。しかし、長年にわたって極めて悪用されてきたため、Microsoftはそれらをデフォルトで無効にした。特にインターネットからダウンロードされたファイルについてはそうである。
しかし、攻撃者は知識的にWordファイルをその事実の周りに設計し、被害者をだましてマクロを有効にし、悪意あるコードを実行させた。Lab52はまた、マルウェアは被害者が実際にファイルを実行したときに攻撃者に通知するように設計されたと述べている。
彼らがそうするとき、彼らは単一の情報盗難マルウェアバリアントを落とすのではなく、複数の小さなスクリプトとHTMLテンプレートを落とす連鎖反応をトリガーする。
これらは永続性を確立し、ダウンロードされたフラグメントからコマンドペイロードを再構成し、基本的なシステム情報を収集し、自動送信HTML形式を介して結果を流出させた。
「このキャンペーンはシンプルさが強力になり得ることを証明している」と研究者は説明した。「攻撃者は非常に基本的なツール(バッチファイル、小さなVBSランチャー、シンプルなHTML)を使用しているが、ステルス性を最大化するために注意深く配置している:非表示またはオフスクリーンのブラウザセッションに操作を移行させ、アーティファクトをクリーンアップし、ペイロード配信とデータ流出の両方を広く使用されているWebhookサービスにアウトソーシングしている。」
Operation MacroMazeの背後にあるグループAPT28は、ロシアの「特別軍事作戦」に積極的に関与し、ウクライナへの戦争をサイバースペースに展開する際に、ウクライナのインフラとその同盟国に攻撃を加えている。
そしてもちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、ビデオ形式のアンボックスを楽しみ、WhatsAppからも定期的な更新を受け取りましょう。
