文章总结： 文档揭示了APT28利用Bat脚本和合法Webhook服务发起的MacroMaze战役。攻击者通过文档字段追踪目标，利用宏模拟击键绕过防御，并借助系统原生组件构建无文件攻击链，实现高隐蔽性间谍活动。建议企业监控异常行为链、管控合法服务风险及强化终端审计以应对此类极简攻击。 综合评分： 80 文章分类： 威胁情报,安全建设,漏洞分析

颠覆认知！APT28新战役：用Bat脚本+合法Webhook，打了一场“极简主义”网络战

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年3月8日 11:59 广东

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

提到国家级APT组织，你是不是会想到0-day漏洞、定制化木马、底层Rootkit这些“高科技杀器”？但俄罗斯关联的APT28（奇幻熊）偏要反其道而行之。2025年9月至2026年1月，这个曾入侵美国民主党全国委员会的“老牌黑客”，针对西欧和中欧目标发起了代号“MacroMaze（宏迷宫）”的定向攻击。

让人震惊的是，整场攻击没有复杂代码，没有高级漏洞，只用Bat批处理、VBS脚本、HTML表单这些基础工具，搭配开发者常用的合法Webhook服务，就构建了一条隐蔽性拉满的攻击链。西班牙安全厂商S2 Grupo的LAB52团队披露，这套“化繁为简”的打法，让众多企业的传统防御体系形同虚设。

一、诱饵文档里的“隐形探针”：打开即暴露

攻击的开端还是熟悉的鱼叉式钓鱼，但APT28在诱饵文档里藏了个巧妙的“追踪 trick”。

与常规恶意文档直接嵌入宏代码不同，这次攻击者在文档的XML结构中植入了一个INCLUDEPICTURE字段，这个字段指向webhook(.)site平台上的一个JPG图片链接。webhook(.)site是开发者常用的HTTP请求测试工具，属于完全合法的云服务，根本不会被传统黑名单拦截。

当受害者打开文档时，Word会自动向该URL发起请求拉取图片，这个过程就像给邮件装了个“超级已读回执”。攻击者通过Webhook服务器，能瞬间获取受害者的公网IP、系统环境、文档打开时间等元数据，确认“鱼儿已咬钩”。更狠的是，这一步完全没有执行恶意代码，纯靠系统正常渲染功能完成侦察，EDR等安全工具根本无法识别。

二、宏代码的“免杀进化史”：从无头模式到模拟击键

确认目标有价值后，真正的攻击才正式启动。LAB52团队追踪发现，APT28的宏代码在4个月内完成了多次“迭代”，核心目标就是绕过安全提示，实现静默执行。

早期版本的宏代码会调用Microsoft Edge的“无头模式”（Headless Mode），在后台悄悄执行任务，用户看不到任何浏览器窗口。但随着安全软件对无头模式的监测加强，APT28很快升级了战术——在新版本中加入SendKeys键盘模拟功能。

这个看似“古老”的技术，却成了破局关键：当系统弹出安全警告时，宏脚本会自动模拟用户按下“Enter”或“Tab+Space”，一键绕过拦截。就像有个“隐形人”在操作键盘，让安全软件误以为是用户主动授权，轻松突破防御防线。

三、教科书级离地攻击：把系统变成“攻击工具”

MacroMaze行动最精彩的部分，在于对“Living off the Land（离地攻击）”理念的极致运用——不落地任何恶意软件，全程借用系统自带组件完成攻击闭环：

1. 宏脚本触发VBS：诱饵文档中的宏代码仅负责启动一个VBScript，自身不执行任何恶意操作，规避特征检测；

2. VBS建立持久化：VBScript运行CMD文件，通过Windows计划任务创建自启动项，确保设备重启后攻击仍能继续；

3. 批处理+Edge的致命配合：核心攻击由批处理脚本完成，它会将一段Base64编码的HTML载荷，交给系统自带的Edge浏览器执行。为了隐藏痕迹，APT28设计了两种方案：要么用无头模式后台运行，要么直接把浏览器窗口移出屏幕可视范围，还会强制杀掉其他Edge进程，确保“攻击窗口”绝对受控；

4. Webhook双向通信：HTML载荷在Edge中渲染后，会通过表单提交功能向Webhook服务器请求攻击指令，执行后再将窃取的数据（如系统信息、敏感文件）以HTML形式回传。整个过程的流量，看起来就像正常浏览网页、提交表单，传统流量审计工具根本无法区分。

这套“宏→VBS→CMD→Edge→Webhook”的链条，每一环都利用了系统合法组件和服务，没有任何异常文件落地，磁盘痕迹几乎为零，完美实现了“隐身攻击”。

四、为什么“极简打法”更难防御？

APT28这次放弃高科技杀器，选择基础工具+合法服务的组合，背后藏着深刻的战术逻辑：

降低检测概率：Bat、VBS、HTML都是系统默认支持的脚本类型，Webhook是常用开发工具，这些“白名单资源”不会触发安全软件警报；

提升攻击灵活性：基础工具兼容性极强，无需适配不同系统版本，修改起来也简单，4个月内就能完成多次免杀迭代；

增加溯源难度：Webhook服务可随时更换，攻击流量混在正常业务流量中，很难定位攻击者真实IP；

精准打击目标：通过前期Webhook侦察，能筛选出高价值目标再下发攻击载荷，避免无差别攻击暴露行踪。

要知道，APT28并非没有高级攻击能力——它曾使用LLM驱动的恶意软件、Wi-Fi近距离攻击等复杂技术。这次选择“极简打法”，恰恰体现了其战术灵活性：针对防御体系完善的欧洲目标，用最简单的工具实现最有效的攻击。

五、防御启示：别让“基础威胁”成为漏网之鱼

MacroMaze行动给所有企业敲响了警钟：高级威胁不一定需要高级工具，看似无害的基础组件，在黑客手中也能变成致命武器。想要抵御这类“极简主义”攻击，需要从三个维度升级防御：

1. 监控异常行为链：传统特征检测已失效，应重点监控“文档打开→Webhook请求→计划任务创建→Edge异常启动”这类关联行为，比如无用户操作时的浏览器后台运行、批量创建的未知计划任务；

2. 管控合法服务风险：不要忽视Webhook、云存储等合法服务的安全风险，建立“异常域名+异常通信”监控机制，警惕内部设备与可疑Webhook端点的频繁交互；

3. 强化终端行为审计：对Bat、VBS等脚本的执行行为进行严格管控，限制无用户交互时的脚本运行，禁止脚本模拟键盘操作绕过安全提示；

4. 提升员工安全意识：钓鱼邮件仍是攻击入口，需定期开展专项培训，提醒员工警惕来源不明的Office文档，打开文件时谨慎授权宏执行。

APT28的这场“宏迷宫”战役证明，网络安全的核心从来不是对抗高科技，而是守住每一个基础环节。当黑客开始用“极简打法”突破防御，企业更需要构建“全行为覆盖”的安全体系——毕竟，最不起眼的漏洞，往往才是最致命的。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《颠覆认知！APT28新战役：用Bat脚本+合法Webhook，打了一场“极简主义”网络战》