俄罗斯黑客部署新 Outlook 恶意软件“NotDoor”

Enda

2025-09-08

网络安全研究人员发现了 NotDoor，这是一种新的网络间谍工具，与俄罗斯国家资助的黑客组织 APT28（也称为 Fancy Bear）有关，该工具针对北约国家的 Microsoft Outlook 用户。

该恶意软件由西班牙网络安全公司 S2 Grupo 的威胁情报部门 LAB52 发现，该恶意软件将 Outlook 变成秘密间谍工具，允许攻击者窃取数据、上传文件并在受感染的计算机上执行命令 - 所有这些都是通过利用 Outlook 的内置自动化功能来实现的。

攻击如何进行

研究人员解释说，该恶意软件被命名为 NotDoor，因为它的代码反复使用“nothing”一词。它是一种用 Visual Basic for Applications (VBA)（Microsoft Office 中使用的脚本语言）编写的隐秘恶意软件。

安装后，它会作为恶意宏处于休眠状态，并在带有特定触发短语（例如“每日报告”）的电子邮件到达时激活。当该电子邮件到达时，恶意软件就会启动——悄悄地让黑客控制受害者的系统。

该恶意软件滥用 Outlook 的事件驱动 VBA 触发器，例如 Application_MAPILogonComplete（在 Outlook 启动时）和 Application_NewMailEx（在收到新电子邮件时）来激活其有效负载。它还删除了引发攻击的触发电子邮件，几乎不留下任何关于攻击是如何开始的痕迹。

推荐阅读：Android 恶意软件冒充防病毒软件监视俄罗斯企业

“这个[案例]凸显了 APT28 的持续演变，展示了它如何不断生成能够绕过既定防御机制的新产物，”写道LAB52 研究人员在博客文章中表示。

复杂的隐形策略

据研究人员称，NotDoor 利用各种先进技巧来逃避检测：

混淆代码：代码经过加扰和编码，使得安全工具难以分析。
DLL 旁加载：它劫持了合法的 Microsoft 文件 OneDrive.exe，该文件加载恶意 DLL (SSPICLI.dll)，将自己伪装成受信任的进程。
注册表修改：它会调整 Outlook 的设置以禁用有关宏的安全警告并抑制对话框提示，从而允许恶意软件在不通知用户的情况下运行。

一旦激活，恶意软件会将窃取的临时文件存储在隐藏目录中，然后秘密地将它们通过电子邮件发送到攻击者控制的电子邮件（a.matti444@proton[.]me），然后擦除所有痕迹。该恶意软件通过向 webhook.site 发送 DNS 和 HTTP 回调来确认成功执行。

谁是幕后黑手

APT28 是世界上最臭名昭著的黑客组织之一，广泛认为是俄罗斯军事情报机构 (GRU) 的一部分。它一直是过去十年中一些最引人注目的黑客攻击的中心，包括 2016 年对民主党全国委员会 (DNC) 的入侵和对世界反兴奋剂机构 (WADA) 的入侵。

LAB52 研究人员补充道，NotDoor 展示了“APT28 的持续演变，展示了它如何不断生成能够绕过既定防御机制的新产物”。

如何保持保护

为了降低感染风险，专家建议组织采取以下紧急措施：