俄羅斯黑客部署新 Outlook 惡意軟件“NotDoor”

網絡安全研究人員發現了 NotDoor，這是一種新的網絡間諜工具，與俄羅斯國家資助的黑客組織 APT28（也稱為 Fancy Bear）有關，該工具針對北約國家的 Microsoft Outlook 用戶。

該惡意軟件由西班牙網絡安全公司 S2 Grupo 的威脅情報部門 LAB52 發現，該惡意軟件將 Outlook 變成秘密間諜工具，允許攻擊者竊取數據、上傳文件並在受感染的計算機上執行命令 - 所有這些都是通過利用 Outlook 的內置自動化功能來實現的。

攻擊如何進行

研究人員解釋說，該惡意軟件被命名為 NotDoor，因為它的代碼反複使用“nothing”一詞。它是一種用 Visual Basic for Applications (VBA)（Microsoft Office 中使用的腳本語言）編寫的隱秘惡意軟件。

安裝後，它會作為惡意宏處於休眠狀態，並在帶有特定觸發短語（例如“每日報告”）的電子郵件到達時激活。當該電子郵件到達時，惡意軟件就會啟動——悄悄地讓黑客控制受害者的系統。

該惡意軟件濫用 Outlook 的事件驅動 VBA 觸發器，例如 Application_MAPILogonComplete（在 Outlook 啟動時）和 Application_NewMailEx（在收到新電子郵件時）來激活其有效負載。它還刪除了引發攻擊的觸發電子郵件，幾乎不留下任何關於攻擊是如何開始的痕跡。

推薦閱讀：Android 惡意軟件冒充防病毒軟件監視俄羅斯企業

“這個[案例]凸顯了 APT28 的持續演變，展示了它如何不斷生成能夠繞過既定防禦機制的新產物，”寫道LAB52 研究人員在博客文章中表示。 

複雜的隱形策略

據研究人員稱，NotDoor 利用各種先進技巧來逃避檢測：

• 混淆代碼：代碼經過加擾和編碼，使得安全工具難以分析。
• DLL 旁加載：它劫持了合法的 Microsoft 文件 OneDrive.exe，該文件加載惡意 DLL (SSPICLI.dll)，將自己偽裝成受信任的進程。
• 註冊表修改：它會調整 Outlook 的設置以禁用有關宏的安全警告並抑制對話框提示，從而允許惡意軟​​件在不通知用戶的情況下運行。

一旦激活，惡意軟件會將竊取的臨時文件存儲在隱藏目錄中，然後秘密地將它們通過電子郵件發送到攻擊者控制的電子郵件（a.matti444@proton[.]me），然後擦除所有痕跡。該惡意軟件通過向 webhook.site 發送 DNS 和 HTTP 回調來確認成功執行。

誰是幕後黑手

APT28 是世界上最臭名昭著的黑客組織之一，廣泛認為是俄羅斯軍事情報機構 (GRU) 的一部分。它一直是過去十年中一些最引人注目的黑客攻擊的中心，包括 2016 年對民主黨全國委員會 (DNC) 的入侵和對世界反興奮劑機構 (WADA) 的入侵。

LAB52 研究人員補充道，NotDoor 展示了“APT28 的持續演變，展示了它如何不斷生成能夠繞過既定防禦機制的新產物”。

如何保持保護 

為了降低感染風險，專家建議組織採取以下緊急措施：

• 默認情況下在所有系統中禁用宏
• 密切關注 Outlook 是否有任何異常行為，尤其是註冊表更改
• 阻止可疑的 DLL 文件被受信任的程序加載
• 確保 Microsoft Office 和 Windows 始終是最新的
• 教育員工識別可能觸發的可疑電子郵件

由於 NotDoor 積極針對北約成員國多個行業的公司，這一發現凸顯出即使像 Outlook 這樣值得信賴的工作場所工具也可能以很少有人預料到的方式被武器化。