apt28 yine avrupa'yı webhook'lu makro malware ile taciz ediyor

Posted on 24 Şub 2026

arkadaşlar, rusya bağlantılı apt28 grubu (fancy bear diye de bilinir) yine iş başında. bu sefer avrupa’daki kurumları hedef almışlar ve webhook tabanlı makro malware kullanmışlar. ispanyol güvenlik firması s2 grupo’nun lab52 ekibi yakalamış bu operasyonu.

ne olmuş yani?

“operation macromaze” adını vermişler bu kampanyaya. eylül 2025 ile ocak 2026 arasında aktif olmuş. batı ve orta avrupa’daki belirli kurumları hedef almışlar. spoiler: apt28 devlet destekli bir grup olduğu için hedefler rastgele değil, çok spesifik seçilmiş.

ilginç olan şu: çok sofistike araçlar kullanmamışlar. klasik makro malware + meşru servislerin istismarı. yani webhook’ları command & control (c2) kanalı olarak kullanmışlar. akıllıca aslında, çünkü meşru trafikten ayırt etmek zor oluyor böyle olunca.

saldırı nasıl çalışıyor?

  1. ilk giriş: makro içeren office dokümanları (klasik apt28 hareketi)
  2. webhook istismarı: discord, slack gibi meşru webhook servislerini c2 kanalı olarak kullanıyorlar
  3. veri sızdırma: aynı webhook’lar üzerinden çalınan verileri dışarı sızdırıyorlar

bu yöntemin güzelliği (saldırganlar için): normal https trafiği gibi görünüyor, firewall’lar geçiriyor çünkü discord/slack zaten meşru servisler.

etkilenen bölgeler

BölgeDurum
Batı Avrupa🔴 Hedef alınmış
Orta Avrupa🔴 Hedef alınmış
Türkiye⚠️ Potansiyel risk

agalar ne yapacaksınız?

1. makro güvenliğini sıkılaştırın

# office makrolarını devre dışı bırakın (group policy ile)
# HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security
# VBAWarnings = 4 (tüm makroları devre dışı bırak)

# ya da powershell ile:
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Office\16.0\Word\Security" -Name VBAWarnings -Value 4

2. webhook trafiğini izleyin

# discord/slack webhook trafiğini loglamaya alın
# şüpheli POST isteklerini arayın:

# örnek snort kuralı:
alert tcp any any -> any 443 (msg:"Possible Webhook C2"; \
content:"POST"; http_method; \
content:"discord.com/api/webhooks"; http_uri; \
sid:1000001;)

3. email güvenliğini sıkılaştırın

  • office dosyalarını zip içinde engelleyin
  • makro içeren dosyaları karantinaya alın
  • kullanıcı eğitimi verin (klasik ama gerekli)

4. endpoint detection kuralları ekleyin

# örnek sigma kuralı:
title: Office Spawning Suspicious Process
detection:
  selection:
    ParentImage:
      - '*\WINWORD.EXE'
      - '*\EXCEL.EXE'
    Image:
      - '*\powershell.exe'
      - '*\cmd.exe'
      - '*\wscript.exe'
  condition: selection

geçici çözümler

eğer hemen makroları kapatamıyorsanız (iş süreçleri falan derseniz):

  1. application whitelisting yapın - sadece onaylı makrolar çalışsın
  2. webhook domainlerini proxy’de loglamaya alın (discord.com/api/webhooks, hooks.slack.com)
  3. email gateway’de office dosyalarını sandbox’ta açın
  4. kullanıcılara “bilinmeyen kaynaklardan gelen office dosyalarını açmayın” diye haykırın (işe yaramaz ama deneyin)

apt28 hakkında

bkz: fancy bear, sofacy, sednit

rusya gru bağlantılı, devlet destekli apt grubu. daha önce:

  • democratic national committee (dnc) saldırısı (2016)
  • olympic destroyer saldırısı
  • çeşitli nato ülkeleri hedefleme

yani bunlar profesyonel, sürekli aktif ve hedefleri politik/stratejik.

ioc’ler (indicators of compromise)

webhook tabanlı c2 kullanımı tespit ederseniz:

  • discord.com/api/webhooks/* adreslerine beklenmedik POST istekleri
  • office process’lerinden başlatılan powershell/cmd
  • base64 encode edilmiş veri transferleri webhook’lara
  • scheduled task oluşturma (persistence için)

pratik kontroller

# 1. son 7 günde webhook trafiğini kontrol edin:
grep -i "webhook" /var/log/proxy/*.log | grep -i "discord\|slack"

# 2. office'den spawn olan process'leri arayın:
# windows event log'larında event id 4688'e bakın
Get-WinEvent -FilterHashtable @{LogName='Security';ID=4688} | 
  Where-Object {$_.Properties[5].Value -match 'WINWORD|EXCEL'} |
  Where-Object {$_.Properties[8].Value -match 'powershell|cmd'}

# 3. scheduled task'larda şüpheli giriş var mı:
schtasks /query /fo LIST /v | findstr /i "excel word powershell"

öneriler

  1. hemen: makro güvenliğini gözden geçirin
  2. bu hafta: webhook trafiğini izlemeye alın
  3. bu ay: kullanıcı farkındalık eğitimi düzenleyin
  4. sürekli: threat intelligence feed’lerinize apt28 ioc’lerini ekleyin

edit: apt28 genelde hedeflerini çok iyi seçiyor. eğer stratejik/politik önemi olan bir kurumda çalışıyorsanız, bu tehdidi ciddiye alın.

dikkat: bu grup devlet destekli, yani kaynakları sınırsız. bugün başarısız olsalar yarın farklı yöntemle gelirler. savunmanızı katmanlı yapın.

kaynaklar

şimdilik bu kadar. apt28 sürekli aktif bir grup, takipte kalın. webhook trafiğinizi mutlaka izleyin, çünkü bu yöntem giderek yaygınlaşıyor.

Bu içerik yapay zeka tarafından oluşturulmuştur.