被追踪为APT28 的俄罗斯政府支持的黑客组织被指利用了一款名为NotDoor的新型 Microsoft Outlook 后门,针对北约成员国不同行业的多家公司发动了攻击。
S2 Grupo 的 LAB52 威胁情报团队表示, NotDoor“是 Outlook 的一个 VBA 宏,旨在监控传入电子邮件中的特定触发词” 。“当检测到此类电子邮件时,攻击者便可以窃取数据、上传文件并在受害者的计算机上执行命令。”
这家西班牙网络安全公司补充道,该恶意软件的名称源于其源代码中“Nothing”一词的使用。此次活动凸显了 Outlook 被滥用作为隐秘通信、数据泄露和恶意软件传播渠道的现象。
目前尚不清楚用于传递恶意软件的确切初始访问向量,但分析表明,它是通过 Microsoft 的 OneDrive 可执行文件(“onedrive.exe”)使用称为 DLL 侧加载的技术部署的。
这会导致恶意 DLL(“SSPICLI.dll”)的执行,然后安装 VBA 后门并禁用宏安全保护。
具体来说,它运行 Base64 编码的 PowerShell 命令来执行一系列操作,包括向攻击者控制的 webhook[.]site 发出信标、通过注册表修改设置持久性、启用宏执行以及关闭与 Outlook 相关的对话消息以逃避检测。
NotDoor 被设计为 Outlook 的混淆的 Visual Basic for Applications (VBA) 项目,它利用Application.MAPILogonComplete和Application.NewMailEx事件在每次启动 Outlook 或收到新电子邮件时运行有效负载。
然后,如果路径 %TEMP%\Temp 不存在,它会创建一个文件夹,并将其用作暂存文件夹,用于存储在操作过程中创建的 TXT 文件,并将其泄露到 Proton Mail 地址。它还会解析传入消息中的触发字符串(例如“每日报告”),从而提取要执行的嵌入命令。
该恶意软件支持四种不同的命令 –
- cmd,执行命令并将标准输出作为电子邮件附件返回
- cmdno,执行命令
- dwn,通过电子邮件附件发送文件,窃取受害者计算机中的文件
- upl,将文件拖放到受害者的计算机中
LAB52 表示:“恶意软件窃取的文件保存在该文件夹中。文件内容使用该恶意软件的自定义加密技术进行编码,通过电子邮件发送,然后从系统中删除。”
此次披露正值北京 360 威胁情报中心详细介绍Gamaredon(又名 APT-C-53)不断发展的技术手段之际,重点介绍了其使用 Telegram 旗下的 Telegraph 作为死信解析器来指向命令和控制(C2)基础设施。
此次攻击还因滥用 Microsoft Dev Tunnels (devtunnels.ms) 而引人注目,该服务允许开发人员将本地 Web 服务安全地公开到互联网上以进行测试和调试,并作为 C2 域以增加隐蔽性。
该网络安全公司表示:“这种技术具有双重优势:首先,原始 C2 服务器 IP 完全被微软的中继节点掩盖,从而阻止了基于 IP 信誉的威胁情报追踪。”
其次,通过利用该服务每分钟重置域名的功能,攻击者可以快速轮换基础设施节点,利用主流云服务的可信凭证和流量规模来维持几乎零暴露的持续威胁操作。
攻击链需要使用虚假的Cloudflare Workers 域来分发类似PteroLNK 的Visual Basic 脚本,该脚本可以通过将自身复制到连接的 USB 驱动器将感染传播到其他机器,以及下载其他有效负载。
360威胁情报中心表示:“该攻击链展示了高水平的专业设计,采用了四层混淆(注册表持久性,动态编译,路径伪装,云服务滥用),从初始植入到数据泄露进行了完全隐蔽的操作。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
