2026-03-03 06:19:51 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： APT28组织在OperationMacroMaze攻击中，利用合法Webhook服务作为信标追踪受害者，通过宏代码触发VBS和批处理脚本，最终借助MicrosoftEdge浏览器渲染恶意HTML载荷执行命令并外传数据，实现了高度隐蔽的免杀攻击链。 综合评分： 78 文章分类： 威胁情报,红队,免杀,渗透测试,恶意软件

cover_image

扒一扒APT28最新攻击链：无头浏览器+合法Webhook，极简代码的“教科书级”免杀！

原创

Hankzheng Hankzheng

技术修道场

2026年2月25日 07:59 广东

哈喽，提到国家级APT组织，大家脑海里是不是立刻浮现出各种酷炫的0-day漏洞、复杂的定制化木马和防不胜防的底层Rootkit？

但今天，我要给大家分享的这个案例，可能会颠覆你的认知。近期，安全厂商S2 Grupo的LAB52团队曝光了俄罗斯背景的著名黑客组织 APT28（也就是大名鼎鼎的“奇幻熊”）的最新活动。在2025年9月到2026年1月期间，他们针对西欧和中欧目标发起了一场代号为 Operation MacroMaze（宏迷宫行动） 的定向攻击。

有意思的是，这帮黑客这次没用什么“核武器”，反而用了一些极度基础的工具（Bat批处理、VBS、简单的HTML），搭配上合法的基础设施，就玩出了一套极其优雅且隐蔽的攻击链。

今天我们就来硬核拆解一下，看看APT28是怎么把“大道至简”玩出花的，顺便也给咱们日常的防御工作拓宽一下思路。

🎣 第一招：精准“探针”，你点开邮件的那一刻就暴露了

钓鱼邮件是老生常谈了，但APT28这次在诱饵文档里藏了一个非常巧妙的“信标”机制。

通常我们查杀恶意文档，习惯去翻看有没有隐藏的宏代码。但这次，攻击者在文档的XML结构里做文章，植入了一个名为 INCLUDEPICTURE 的字段。这个字段指向了 webhook[.]site（一个开发者常用的合法HTTP请求测试平台）上的一个JPG图片链接。

技术原理解析：

这就好比给邮件装了一个“已读回执”的强化版——追踪像素（Tracking Pixel）。当受害者毫无防备地打开文档时，Word为了渲染内容，会自动向这个远端URL发起HTTP请求去拉取图片。

就在这神不知鬼不觉的一瞬间，受害者的公网IP、打开时间、系统环境等元数据就已经被记录在Webhook服务器上了。攻击者甚至不需要执行任何恶意代码，就能确认“鱼儿已咬钩”，从而决定是否要下发后续的精准打击载荷。利用合法云服务做前置侦察，不仅绕过了传统的流量审计，还完美隐蔽了C2（命令与控制）服务器的真实IP。

🛡️ 第二招：宏代码的“免杀”进化史

当确认目标高价值后，真正的重头戏——宏代码就开始运作了。LAB52团队在追踪期间，发现这套宏代码并非一成不变，而是有着非常明显的“免杀进化”轨迹。

虽然核心逻辑都是为了在受感染主机上建立立足点并拉取下一阶段载荷，但在对抗安全软件的弹窗提示上，APT28花了不少心思：

早期版本（利用无头浏览器）：

宏代码会在后台静默调用“无头模式（Headless）”的浏览器来执行任务。
近期版本（引入SendKeys击键模拟）：

现在的系统安全策略越来越严，为了绕过部分安全软件或系统的弹窗拦截，最新的宏脚本开始使用键盘模拟（SendKeys）。

💡 编辑点评： 很多兄弟可能觉得 SendKeys 这种古老的自动化测试技术很“土”，但在实战中，只要能用最简单的代码模拟用户按下“Enter”或“Tab+Space”来放行UAC或安全警告，它就是最高效的绕过手段。

⚙️ 第三招：教科书级的“白环境”利用 (LotL)

如果说前面的手段只是前菜，那这条攻击链的执行与数据外传阶段，绝对称得上是 “Living off the Land（离地攻击）” 的教科书级示范。

整个执行链条极为克制，层层递进：

宏触发 VBScript：

宏代码不干脏活，只是负责拉起VBS脚本，进入下一阶段。
VBS 启动 CMD：

VBS脚本执行一个CMD文件，利用系统的计划任务（Scheduled Tasks）实现权限维持和持久化。
批处理与 Edge 浏览器的奇妙配合：

计划任务会启动一个Batch批处理脚本，这才是真正的核心杀招。

这个批处理脚本会将一段经过Base64编码的小巧HTML载荷，直接扔给系统自带的 Microsoft Edge 浏览器去渲染执行。为了避免被用户察觉，攻击者有两种做法：

方式一：

使用Edge的 Headless 模式运行。
方式二（最新变种）：

放弃Headless，而是把Edge的浏览器窗口直接移出屏幕可视范围（Off-screen），随后极其残暴地杀掉所有其他的Edge进程，以确保这个“幽灵窗口”处于绝对受控的环境中。

为何要大费周章用Edge？

当这段恶意HTML在Edge中渲染时，它会向 webhook[.]site 请求指令，在本地执行后抓取输出结果（Output），然后利用标准的 HTML Form（表单）提交功能，将窃取到的数据POST到另一个Webhook实例中。

整个过程中：

没有乱七八糟的第三方远控木马落地。
流量伪装成了正常的Edge浏览器浏览网页和提交表单的行为。
数据外传和指令接收全部依赖开发者常用的白名单域名（Webhook）。

这就导致防守方的EDR设备很难将其判定为恶意行为——因为每一环看起来都是系统正常组件在做合法的事情。

总结

Operation MacroMaze 这场战役，给所有的安全从业者上了一课：真正的威胁，往往隐藏在最不起眼的角落。

APT28 用极简的脚本语言（Bat、VBS）、系统自带的浏览器（Edge）、再加上随处可见的云测试服务（Webhook），像搭积木一样拼凑出了一个隐蔽性极强、磁盘痕迹极少的杀伤链。这也提醒我们，面对高级威胁，仅仅依赖传统的特征匹配和黑名单已经远远不够，对系统底层行为链条的上下文监控和异常关联，才是未来的防御重点。

技术没有黑白，看用在谁的手里。希望今天的硬核拆解，能给大家带来一些新的思考。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng Hankzheng《扒一扒APT28最新攻击链：无头浏览器+合法Webhook，极简代码的“教科书级”免杀！》