NotDoor 恶意软件-红客联盟 AI 分析报告

一、报告基础信息

• 情报来源：红客联盟官方门户 | https://www.chnhonker.com/3203.html
• 情报编号：HK-MW-202509043203
• 分析主体：红客联盟 AI 智能安全分析员
• 分析目标：分析网址内容中 NotDoor 恶意软件的攻击原理、隐蔽手段、影响范围及防御方案，为 Outlook 用户防护、APT28 威胁狩猎、应急响应提供依据。
• 报告声明：本报告来源网络情报，由红客联盟 AI 进行分析，仅供参阅与技术交流，不做任何保证。

二、分析内容开始

（一）NotDoor 恶意软件基础概况

1. 核心定位与归属：
   • 性质：针对 Microsoft Outlook 的VBA 编写后门恶意软件，名称源于代码中频繁使用的 “Nothing” 一词；
   • 威胁组织：归因于俄罗斯国家支持的 APT28（又名 “Fancy Bear”），该组织与俄罗斯总参谋部情报总局（GRU）关联，活跃超 10 年，曾实施 2016 年民主党全国委员会（DNC）入侵、世界反兴奋剂机构（WADA）攻击等重大事件。
2. 攻击目标与传播：
   • 目标对象：聚焦 Microsoft Outlook 用户，尤其针对北约成员国各行业企业（含政府关联、国防合作、科技制造等领域）；
   • 触发前提：通过监控 Outlook 邮件内容或功能事件激活，无需用户主动运行独立程序，隐蔽性极强。

（二）核心技术特点：激活机制与隐蔽手段

1. 精准激活机制（事件驱动 + 触发词监控）

• 事件驱动触发：依赖 Outlook 内置 VBA 事件，实现 “开机即驻留、新邮件即响应”：
  1. Application_MAPILogonComplete：Outlook 启动并完成邮件登录时，自动加载恶意 VBA 代码；
  2. Application_NewMailEx：新邮件到达收件箱时，触发恶意逻辑检测与执行。
• 触发词筛选：监控传入邮件内容，仅当检测到 “每日报告” 等特定关键词时，才激活完整恶意功能（如数据窃取、命令执行），减少非目标场景下的暴露风险。

2. 三重隐蔽手段：规避安全检测

（三）恶意行为与攻击流程

1. 环境准备：激活后自动在受害者设备创建隐藏目录（如C:\Users\用户名\AppData\Roaming\Microsoft\Outlook\Temp\），用于存储窃取的临时数据；
2. 数据收集：扫描 Outlook 邮件内容（含附件）、联系人列表、本地文档（如桌面 “每日报告.xlsx”），提取敏感信息（如企业内部数据、个人凭据）；
3. 数据泄露：将收集的敏感数据压缩后，通过 Outlook 发送至攻击者控制的邮箱a.matti444@proton[.]me，发送后立即删除临时文件，清除痕迹；
4. 执行确认：向指定 Webhook 站点发送回调请求（如 “https://[恶意域名]/callback”），告知攻击者 “设备已成功感染”，便于后续下发命令（如上传文件、执行系统命令）；
5. 持久化维持：通过注册表修改（如添加 “Outlook 启动加载项”）确保每次 Outlook 启动时恶意代码均能运行，实现长期潜伏。

（四）影响范围与行业风险

1. 地域与行业聚焦：已确认 NotDoor 被用于攻击 “北约成员国” 的企业，覆盖国防合作、能源、金融、科技等关键行业，存在 “针对性地缘政治攻击” 特征；
2. 数据泄露风险：泄露数据包括企业内部邮件、项目文档、客户信息等，可能导致商业机密外泄、供应链信息被窃取，甚至影响国家安全（如国防合作企业数据）；
3. APT28 能力升级：NotDoor 的出现表明 APT28 持续进化 —— 从早期 “钓鱼附件投毒” 转向 “Office 功能滥用”，更擅长利用合法软件生态规避现代防御，攻击成功率显著提升。

三、红客联盟 AI 研究院建议

1. 用户层面：即时防护动作
   • 禁用 Outlook 宏：打开 Outlook→“文件→选项→信任中心→信任中心设置→宏设置”，选择 “禁用所有宏，并且不通知”，从源头阻断 VBA 恶意代码执行；
   • 监控异常进程：通过任务管理器查看OneDrive.exe的加载模块，若发现非官方路径的 DLL（如C:\Temp\mal.dll），立即结束进程并删除文件；
   • 警惕触发词邮件：对含 “每日报告”“紧急通知” 等关键词的陌生邮件，优先通过 “Outlook 安全模式”（按住 Ctrl 键双击 Outlook 图标启动）打开，避免直接触发恶意逻辑。
2. 企业层面：全链路防御
   • 注册表排查：通过组策略限制 Outlook 注册表修改权限，定期扫描HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\Security路径，若发现 “DisableMacroWarning” 等异常键值（数值为 1），立即恢复默认设置；
   • 邮件过滤：在邮件网关中配置 “触发词拦截规则”，对含 “每日报告” 且来自外部的邮件标记为 “高危”，需人工审核后放行；
   • APT28 威胁狩猎：基于 IOCs（如恶意邮箱a.matti444@proton[.]me、OneDrive.exe异常 DLL 加载行为），在 EDR 中创建自定义检测规则，排查潜伏感染设备。
3. 长期防护：Office 生态安全加固
   • 部署 “Office 应用控制”：通过 AppLocker 或 WDAC（Windows Defender 应用控制），仅允许运行经认证的OneDrive.exe及 Outlook 插件，禁止未授权 DLL 加载；
   • 员工培训：针对 “APT28 钓鱼特征”（如仿冒北约相关机构邮箱、含 “每日报告” 等工作相关关键词）开展专项培训，提升员工对隐蔽攻击的识别能力。