ロシア系APT28がWebhookとマクロを悪用した欧州標的攻撃「Operation MacroMaze」の全貌

雑記

ロシア政府系ハッカー集団APT28(別名Fancy Bear)が、西欧・中欧の特定組織を標的とした新たなサイバー攻撃キャンペーンを展開していたことが明らかになりました。S2 GrupoのLAB52脅威インテリジェンスチームが発見したこの活動は「Operation MacroMaze」と名付けられ、2025年9月から2026年1月にかけて行われました。正規サービスの悪用と基本的なツールの組み合わせによる巧妙な攻撃手法が特徴です。

この記事のポイント

  • APT28が正規のWebhookサービスを悪用し、ペイロード配信とデータ窃取の両方に利用
  • スピアフィッシングメールからマクロ付き文書を配布し、段階的に高度化する回避技術を採用
  • トラッキングピクセルに似た仕組みで文書の開封確認を行い、標的を絞り込む手法を使用

攻撃チェーンの全体像

攻撃の起点はスピアフィッシングメールです。標的に対しておとり文書(ルアードキュメント)が配布されます。この文書にはXML要素内に「INCLUDEPICTURE」フィールドが仕込まれており、webhook[.]siteのURLでホストされたJPG画像を参照します。受信者がファイルを開くと、自動的に画像の取得が行われ、これが「トラッキングピクセルに似たビーコンメカニズム」として機能します。つまり、攻撃者は標的が文書を実際に開いたかどうかをリアルタイムで確認できるのです。この開封確認を経て、本格的なペイロードの配信が始まります。

マクロの進化と回避技術

キャンペーン期間中、マクロのバリアントは複数回にわたって進化しました。初期バージョンではヘッドレスブラウザの実行を利用していましたが、より新しいバージョンではキーボードシミュレーション(SendKeys)を使用してセキュリティプロンプトを回避する手法が導入されました。マクロはVisual Basic Script(VBScript)を実行し、以下の一連の動作を行います。CMDファイルを実行してスケジュールタスクによる永続化を確立し、Base64エンコードされたHTMLペイロードをレンダリングするバッチスクリプトを起動します。さらに、webhook[.]siteのエンドポイントからコマンドを取得して実行し、出力結果をHTMLファイルとしてキャプチャしてリモートのWebhookインスタンスに送信(窃取)します。

巧妙なインフラ構築と検知回避

第2のバッチバリアントでは、ブラウザウィンドウを画面外に移動させ、競合するEdgeプロセスを終了させることで、制御された実行環境を構築する手法も確認されています。攻撃者は「広く利用されているWebhookサービス」をペイロード配信とデータ窃取の両方に活用しました。これにより、ディスク上のアーティファクト(痕跡)を最小限に抑えつつ、運用上のシンプルさを維持しています。正規サービスを踏み台にすることで、ネットワーク監視による検知を困難にしている点が、この攻撃の大きな特徴です。

APT28とは何者か

APT28(Fancy Bear、Sofacy、Sednit、STRONTIUM等の別名でも知られる)は、ロシア軍参謀本部情報総局(GRU)に帰属されるとされる国家支援型の脅威アクターです。2000年代半ばから活動が確認されており、政府機関、軍事組織、メディア、エネルギー企業など幅広いセクターを標的にしてきました。過去には2016年の米国大統領選挙への干渉疑惑や、世界アンチ・ドーピング機関(WADA)への攻撃でも知られています。

知っておくと便利なTips

  • Webhookサービス(webhook.site等)からの不審な通信をネットワーク監視で検知する体制を整えることが重要です。正規サービスであっても、C2通信に悪用されるケースが増えています
  • Office文書の「INCLUDEPICTURE」フィールドによる外部リソース自動取得はトラッキングに悪用可能なため、組織のセキュリティポリシーでマクロの自動実行を無効化し、外部コンテンツの読み込みをブロックする設定を推奨します
  • スピアフィッシング対策として、不審な添付ファイルの開封前にサンドボックス環境で検証する手順を徹底しましょう

まとめ

Operation MacroMazeは、APT28が依然として積極的にサイバー攻撃を展開していることを示す重要な事例です。特筆すべきは、高度なゼロデイ脆弱性ではなく、マクロ付き文書やWebhookサービスといった比較的「基本的な」ツールを組み合わせながらも、段階的に回避技術を高度化させている点です。正規サービスの悪用によって検知が困難になるため、組織は従来のシグネチャベースの検知だけでなく、振る舞い検知やネットワークトラフィックの異常分析も含めた多層防御の強化が求められます。欧州の組織だけでなく、グローバルに同様の手法が展開される可能性があり、継続的な警戒が必要です。

📎 元記事: https://thehackernews.com/2026/02/apt28-targeted-european-entities-using.html

コメント

タイトルとURLをコピーしました