文章总结： 俄罗斯APT28组织在2025年9月至2026年1月期间针对西欧和中欧实体发起名为MacroMaze的攻击活动。攻击者通过鱼叉式钓鱼邮件分发含恶意宏的诱饵文档，利用webhook.site服务作为信标和命令控制基础设施。恶意宏执行VBScript和批处理脚本，通过计划任务建立持久化，并利用无头或屏幕外浏览器渲染HTML载荷以窃取数据并回传至webhook端点，展现了使用基础工具和合法服务实现高度隐蔽性的攻击手法。 综合评分： 78 文章分类： 威胁情报,恶意软件,渗透测试,红队,网络安全

俄黑客组织 APT28 利用基于 Webhook 的宏恶意软件攻击欧洲实体

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年2月24日 09:02 湖北

导读

与俄罗斯有关联的APT28组织被指发起了一项针对西欧和中欧特定实体的新攻击活动。

据西班牙网络安全公司S2 Grupo旗下LAB52威胁情报团队称，此次活动发生在2025年9月至2026年1月期间，代号为“MacroMaze行动”。这家网络安全公司表示：“该行动依赖于基础工具，并利用合法服务窃取基础设施和数据。”

攻击链以鱼叉式网络钓鱼邮件为起点，散布诱饵文档。这些文档的 XML 中包含一个共同的结构元素，即名为“INCLUDEPICTURE”的字段，该字段指向一个托管 JPG 图片的 webhook[.]site URL。当用户打开该文档时，就会从远程服务器获取该图片文件。

这种机制类似于跟踪像素，它像信标一样工作，在文档打开时触发向 webhook[.]site URL 发送出站 HTTP 请求。服务器运营商可以记录与该请求相关的元数据，从而确认文档确实已被收件人打开。

LAB52 表示，他们在 2025 年 9 月下旬至 2026 年 1 月期间发现了多个带有略微修改过的宏的文档，所有这些文档都用作投放器，以在受感染的主机上建立立足点并投放其他有效载荷。

“虽然检测到的所有宏的核心逻辑保持一致，但这些脚本显示出规避技术的演变，从旧版本中的‘无头’浏览器执行到新版本中使用键盘模拟（SendKeys）来绕过安全提示。”研究人员解释说。

该宏旨在执行一段 Visual Basic 脚本 (VBScript)，以将感染推进到下一阶段。该脚本会运行一个 CMD 文件，通过计划任务建立持久化，并启动一个批处理脚本，该脚本会在 Microsoft Edge 的无头模式下渲染一个小型 Base64 编码的 HTML 有效载荷，以逃避检测，然后从 webhook[.]site 端点检索命令，执行该命令，捕获其输出，并将其以 HTML 文件的形式泄露到另一个 webhook[.]site 实例。

第二个批处理脚本变体放弃了无头执行，而是将浏览器窗口移出屏幕，然后强制终止所有其他 Edge 浏览器进程，以确保受控环境。

LAB52表示：“当生成的HTML文件被Microsoft Edge渲染后，表单就会被提交，从而导致收集到的命令输出在无需用户交互的情况下被泄露到远程webhook端点。这种基于浏览器的泄露技术利用标准的HTML功能来传输数据，同时最大限度地减少磁盘上可检测到的痕迹。”

“这次攻击活动证明了化繁为简的力量。攻击者使用了非常基础的工具（批处理文件、小型 VBS 启动器和简单的 HTML），精心安排以最大限度地提高隐蔽性：将操作转移到隐藏或屏幕外的浏览器会话中，清理痕迹，并将有效载荷的传递和数据泄露外包给广泛使用的 webhook 服务。”

技术报告：

https://lab52.io/blog/operation-macromaze-new-apt28-campaign-using-basic-tooling-and-legit-infrastructure/

新闻链接：

https://thehackernews.com/2026/02/apt28-targeted-european-entities-using.html

今日安全资讯速递

APT事件

Advanced Persistent Threat

伊朗黑客组织MuddyWater携GhostFetch登陆MENA

https://www.cybermaterial.com/p/muddywater-hits-mena-with-ghostfetch

APT28 利用基于 Webhook 的宏恶意软件攻击欧洲实体

https://thehackernews.com/2026/02/apt28-targeted-european-entities-using.html

黑客利用戴尔零日漏洞 (CVE-2026-22769) 进行攻击

China-linked hackers exploited Dell zero-day since 2024 (CVE-2026-22769)

影子行动揭露37个国家和地区的网络间谍活动

https://www.cysecurity.news/2026/02/shadow-campaigns-expose-37-nations-to.html

Lazarus 组织在 npm 和 PyPI 生态系统中植入恶意软件包

https://thehackernews.com/2026/02/lazarus-campaign-plants-malicious.html

一般威胁事件

General Threat Incidents

GrayCharlie 向 WordPress 网站注入恶意 JavaScript，以传播 NetSupport RAT 和 Stealc

GrayCharlie Injects Malicious JavaScript into WordPress Sites to Deliver NetSupport RAT and Stealc

日本半导体设备公司爱德万测试（Advantest）遭遇勒索软件攻击

https://www.esecurityplanet.com/threats/global-chip-supplier-advantest-discloses-cyber-incident/

XMRig 挖矿程序利用 BYOVD 和定时自毁开关实现隐蔽攻击

Wormable XMRig campaign leverages BYOVD and timed kill switch for stealth

Shai-Hulud 类蠕虫通过 npm 和 AI 工具攻击开发者

https://www.infosecurity-magazine.com/news/shai-hulud-like-worm-devs-npm-ai/

黑客利用Excel漏洞将XWorm 7.2隐藏在JPEG文件中，劫持电脑

Hackers Use Excel Exploit to Hide XWorm 7.2 in JPEG Files, Hijack PCs

美国历史上最大规模数据泄露，勒索软件组织窃取 8TB 数据

Conduent Data Breach – Largest Data Breach in U.S. History As Ransomware Group Stolen 8 TB of Data

Silver Fox 组织在高级恶意软件活动中部署了 DLL 侧加载和 BYOVD 技术

Silver Fox APT Deploys DLL Sideloading and BYOVD in Advanced Malware Campaign

AWS威胁情报团队发现600多台FortiGate设备受到攻击

https://www.cybersecuritydive.com/news/ai-cyberattacks-fortigate-amazon/812830/

漏洞事件

Vulnerability Incidents

CISA警告：Roundcube Webmail 多个漏洞已被攻击者利用

CISA Warns of Multiple Roundcube Vulnerabilities Exploited in Attacks

热门 VS Code 扩展程序暴露严重缺陷，1.28 亿用户面临风险

128M Users Exposed as Popular VS Code Extensions Reveal Critical Flaws

VPN漏洞使得黑客得以入侵数十家Ivanti客户的账户

VPN flaws allowed Chinese hackers to compromise dozens of Ivanti customers, says report

Apache Tomcat漏洞可绕过访问规则

https://www.esecurityplanet.com/threats/apache-tomcat-vulnerability-circumvents-access-rules/

Jenkins 存在严重漏洞，使构建环境易受 XSS 攻击

Jenkins Vulnerabilities Exposes Build Environments to XSS Attacks

超过 41% 的热门 OpenClaw 技能被发现存在安全漏洞

https://www.esecurityplanet.com/threats/over-41-of-popular-openclaw-skills-found-to-contain-security-vulnerabilities/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《俄黑客组织 APT28 利用基于 Webhook 的宏恶意软件攻击欧洲实体》