文章总结： 俄APT28组织发起‘迷宫行动’，利用Word宏与Webhook服务构建隐蔽攻击链，针对北约成员国进行数据窃取。攻击滥用合法工具绕过传统防护，通过伪装文档诱导宏启用，实现无恶意软件特征的数据外泄。文章拆解了从钓鱼投递到数据窃取的五步流程，揭示了低技术手段的高隐蔽性风险，并提出禁用宏、监控异常进程及拦截Webhook通信等防护建议。 综合评分： 72 文章分类： 威胁情报,应急响应

用户启用宏后，恶意代码会在%USERPROFILE%文件夹下，释放VBS、BAT、CMD、HTM、XHTML等6个文件，文件名采用GUID格式（类似系统文件命名），隐藏在用户目录中不易被发现。同时，宏代码通过字符串拼接隐藏关键命令，规避静态检测。

4. 持久化+绕过防护：扎根系统不被清

VBScript触发后会创建计划任务，确保设备重启后攻击仍能继续；针对安全提示，攻击者还设计了Fake Word错误弹窗、SendKeys自动操作等功能，自动绕过系统安全拦截。后续的BAT脚本分两种模式：一种用Edge浏览器无头模式（无界面）运行，另一种直接隐藏浏览器窗口，还会强制关闭干扰进程、抑制证书错误提示，确保攻击流程不中断。

5. 数据窃取+外泄：HTML表单偷偷发数据

CMD脚本会收集设备IP地址、目录列表、系统环境信息等敏感数据，随后与HTM模板、XHTML片段拼接成完整HTML文件。当Edge浏览器渲染该文件时，内置的自动提交表单会通过POST请求，将窃取的数据通过webhook[.]site端点外传，全程无用户交互，磁盘上几乎不留痕迹。

APT28的“低技术高 craft”：为何难防？

这场攻击没有复杂的漏洞利用、没有新型恶意软件，却让众多欧洲实体中招，核心在于APT28把“简单工具用到了极致”：

• 工具合法化：所有攻击组件（Word宏、批处理、HTML、Edge浏览器）都是系统或常用软件自带功能，无恶意特征，传统杀毒软件无法识别；

• 流量隐蔽化：数据通过webhook服务传输，HTTP请求与正常网页访问无差别，防火墙难以区分恶意流量；

• 操作无痕化：文件释放到用户目录、用计划任务持久化、攻击后清理痕迹，整个过程几乎不留下异常日志，溯源难度极大；

• 适配性强：攻击从2025年9月到2026年1月持续迭代，宏病毒变体不断优化，从简单清理痕迹升级到自动绕过防护，应对不同系统环境。

值得一提的是，APT28作为俄罗斯GRU（军事情报总局）下属部队运营的组织，历史劣迹斑斑——参与2016年美国大选攻击、长期瞄准各国政府和军事机构，此次“迷宫行动”与1月曝光的“Neusploit行动”（利用Office漏洞CVE-2026-21509）形成呼应，可见其正通过多套攻击手段，持续对欧洲目标施压。

紧急防护指南：4招阻断“低技术攻击”

面对这类“无 malware 、靠工具组合”的攻击，企业和个人需跳出“依赖病毒库检测”的思维，从行为和场景入手防护：

1. 严控Word宏启用：从源头阻断

禁用非必要的Office宏功能，对来自外部的Word文档，一律默认禁用宏；企业可通过组策略限制宏的运行权限，仅允许信任来源的文档启用宏。

2. 监控异常文件与进程

• 排查用户目录（%USERPROFILE%）中是否有GUID命名的可疑VBS、BAT文件；

• 监控Edge浏览器的无头模式运行、隐藏窗口启动等异常行为，以及计划任务的异常创建。

2. 拦截webhook相关恶意通信

封禁webhook[.]site等已知恶意域名，同时监控向不明webhook端点的HTTP POST请求，尤其是来自浏览器的批量数据传输。

4. 警惕钓鱼文档：核实来源再打开

收到标注“政府文件”“会议通知”的陌生邮件附件，先通过官方渠道核实发件人身份，不轻易打开附件，更不随意启用宏。

对涉及欧洲业务、尤其是北约相关的企业和机构，需重点加强防护，定期排查异常网络通信和文件，避免成为APT28的下一个目标。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《北约目标警惕！俄APT28发起“迷宫行动”，用Word宏+网页钩子偷数据，低技术却高隐蔽》