کمیته رکن چهارم – یک گروه تهدید دولتی وابسته به روسیه با نام APT28 (معروف به Fancy Bear یا Sofacy) به یک کارزار هدفمند جدید علیه نهادهایی در اروپای غربی و مرکزی نسبت داده شده است؛ عملیاتی که با نام Operation MacroMaze شناخته میشود و بین سپتامبر ۲۰۲۵ تا ژانویه ۲۰۲۶ فعال بوده است.
به گزارش کمیته رکن چهارم و بر اساس یافتههای تیم اطلاعات تهدید LAB52 از شرکت S2 Grupo، این کمپین بدون تکیه بر بدافزارهای پیچیده یا اکسپلویتهای پیشرفته اجرا شده و در عوض بر مهندسی اجتماعی دقیق و سوءاستفاده از قابلیتهای بومی سیستم و سرویسهای قانونی متکی بوده است.
حمله با ایمیلهای spear-phishing آغاز میشود که حاوی اسناد Word آلوده هستند. در این فایلها از فیلد INCLUDEPICTURE استفاده شده که به یک آدرس webhook.site اشاره میکند. بهمحض باز شدن سند، یک درخواست HTTP به سرور مهاجم ارسال میشود و عملاً مانند یک «پیکسل ردیابی» تأیید میکند که قربانی فایل را باز کرده است.
در ادامه، ماکرو یک زنجیره چندمرحلهای را فعال میکند: اجرای VBScript، سپس CMD و ایجاد پایداری از طریق Scheduled Tasks. در مرحله بعد، یک فایل HTML رمزگذاریشده در مرورگر Microsoft Edge اجرا میشود که دستورات را از webhook.site دریافت کرده، آنها را اجرا و خروجی را دوباره به همان سرویس ارسال میکند. در برخی نسخهها، Edge در حالت headless اجرا شده و در نمونههای دیگر، پنجره مرورگر خارج از دید کاربر منتقل میشود تا فعالیت مخفی بماند.
نکته قابل توجه در Operation MacroMaze، استفاده از سرویسهای عمومی و قانونی بهعنوان کانال فرمان و کنترل (C2) و استخراج داده است؛ رویکردی که تشخیص ترافیک مخرب را برای سامانههای امنیتی دشوارتر میکند. همچنین مشاهده شده تکنیکهای دور زدن دفاعی در طول زمان تکامل یافتهاند، از اجرای headless مرورگر گرفته تا شبیهسازی فشردن کلیدها برای عبور از هشدارهای امنیتی.
این کمپین نشان میدهد حملات پیشرفته الزاماً به ابزارهای پیچیده نیاز ندارند و ترکیب مهندسی اجتماعی، اسکریپتهای ساده و استفاده هوشمندانه از قابلیتهای بومی ویندوز میتواند به همان اندازه مؤثر و خطرناک باشد.
منبع: The Hacker News
