De door de Russische door de staat gesponsorde hackinggroep gevolgd als APT28 is toegeschreven aan een nieuwe Microsoft Outlook-achterdoor genaamd Notdoor bij aanvallen op meerdere bedrijven uit verschillende sectoren in de NAVO -lidstaten.
Notdoor “is een VBA -macro voor Outlook die is ontworpen om inkomende e -mails te controleren op een specifiek triggerwoord”, zei S2 Grupo’s Lab52 Threat Intelligence -team. “Wanneer een dergelijke e -mail wordt gedetecteerd, stelt dit een aanvaller in staat om gegevens te exfiltreren, bestanden te uploaden en commando’s op de computer van het slachtoffer uit te voeren.”
Het artefact krijgt zijn naam aan het gebruik van het woord “niets” binnen de broncode, voegde het Spaanse cybersecuritybedrijf eraan toe. De activiteit benadrukt het misbruik van vooruitzichten als een heimelijke communicatie, data -exfiltratie en malware -leveringskanaal.
De exacte initiële toegangsvector die wordt gebruikt om de malware te leveren, is momenteel niet bekend, maar analyse laat zien dat deze wordt geïmplementeerd via Microsoft’s OneDrive uitvoerbare bestand (“ONEDRIVE.EXE”) met behulp van een techniek die Dll-side-loading wordt genoemd.
Dit leidt tot de uitvoering van een kwaadaardige DLL (“SSPICLI.DLL”), die vervolgens de VBA -achterdeur installeert en macro -beveiligingsbescherming uitschakelt.
In het bijzonder voert het base64-gecodeerde PowerShell-commando’s uit om een reeks acties uit te voeren waarbij Beaving is betrokken bij een door aanvallers gecontroleerde WebHook (.) -Site, doorzettingsvermogen op te stellen door registeraanpassingen, waardoor macro-uitvoering mogelijk wordt gemaakt en Outlook-gerelateerde dialoogboodschappen uitschakelen om detectie te evaderen.
NotDoor is ontworpen als een Obfuscated Visual Basic for Applications (VBA) -project voor Outlook dat gebruik maakt van de applicatie. Mapilogoncomplete en application.NewMailEx -gebeurtenissen om de payload uit te voeren elke keer dat Outlook wordt gestart of een nieuwe e -mail aankomt.
Vervolgens gaat het verder met het maken van een map op het pad %temp % temp als het niet bestaat, het gebruik ervan als een staging -map om TXT -bestanden op te slaan die tijdens de bewerking zijn gemaakt en deze naar een proton -e -mailadres op te slaan. Het parseert ook inkomende berichten voor een trigger -string, zoals “Daily Report”, waardoor het de ingebedde opdrachten extraheert.
De malware ondersteunt vier verschillende opdrachten –
- CMD, om opdrachten uit te voeren en de standaarduitvoer te retourneren als een e -mailbijlage
- cmdno, om opdrachten uit te voeren
- DWN, om bestanden van de computer van het slachtoffer te exfiltreren door ze als e -mailbijlagen te sturen
- UPL, om bestanden naar de computer van het slachtoffer te laten vallen
“Bestanden die door de malware worden geëxfiltreerd, worden opgeslagen in de map,” zei Lab52. “De bestandsinhoud wordt gecodeerd met behulp van de aangepaste codering van de malware, verzonden via e -mail en vervolgens uit het systeem verwijderd.”
De openbaarmaking komt als het in Beijing gebaseerde 360 Threat Intelligence Center gedetailleerde Gamaredons (AKA APT-C-53) evolueren van tradecraft, wat het gebruik van telegraaf van telegram benadrukt als een dode drop-resolver om te wijzen op commando-en-controle (C2) infrastructuur.
De aanvallen zijn ook opmerkelijk voor het misbruik van Microsoft Dev -tunnels (Devtunnels.ms), een service waarmee ontwikkelaars lokale webservices veilig kunnen blootstellen aan internet voor testen en debuggen, als C2 -domeinen voor extra stealth.
“Deze techniek biedt tweevoudige voordelen: ten eerste wordt de originele C2 -server -IP volledig gemaskeerd door de relaisknooppunten van Microsoft, het blokkeren van dreigingsinformatie -tracebacks op basis van IP -reputatie,” zei het cybersecuritybedrijf.
“Ten tweede, door het vermogen van de service te benutten om domeinnamen van minuut tot minuut te resetten, kunnen de aanvallers snel infrastructuurknooppunten roteren, gebruikmaken van de vertrouwde referenties en verkeersschaal van reguliere cloudservices om een bijna continue dreigingsoperatie van nul-blootstelling te behouden.”
Aanvalketens brengen het gebruik van nep -cloudflare -werknemers -domeinen in om een visuele basisscript zoals pterolnk te distribueren, dat de infectie naar andere machines kan verspreiden door zichzelf te kopiëren naar verbonden USB -drives, en extra te downloaden
payloads.
“Deze aanvalsketen toont een hoog niveau van gespecialiseerd ontwerp, met vier lagen obfuscatie (register persistentie, dynamische compilatie, padmaskerading, cloudservicemisbruik) om een volledig verborgen werking uit te voeren van de initiële implantatie tot gegevensuitbruik,” zei 360 Threat Intelligence Center.
