Güvenlik araştırmacıları, Rus tehdit aktörleri tarafından geliştirilen ve tetikleyici kelimeler için gelen e -postayı izleyen ve verileri dışarı atabilen, dosya yükleyebilen ve kurban makinelerinde komutlar yürütebilen yeni bir Microsoft Outlook Backdoor’u ortaya çıkardılar.
S2 Grupo’nun Lab52’deki araştırmacılar tarafından “Notdoor” olarak adlandırılan kötü amaçlı yazılım, Rus Gru Askeri İstihbarat Birimi ile bağlantılı olan APT28 tehdit grubuna – yani “Fantezi Ayı” a atfedildi.
Kötü amaçlı yazılım, “APT28’in devam eden evrimini vurgular, bu da yerleşik savunma mekanizmalarını nasıl atlayabilen yeni eserleri nasıl ürettiğini gösterir” diye araştırmacılar bir blog yazısında yazdı.
Görünüm arka kapısı, “NATO üye ülkelerindeki çeşitli sektörlerden çoklu şirketlerden” taviz vermek için kullanıldı.
Outlook Backdoor bir VBA makrosun
Kodda “hiçbir şey” kelimesinin kullanılması nedeniyle kötü amaçlı yazılım “Notdoor” olarak adlandırıldı. Araştırma, arka kapı, belirli tetikleyici kelimeler için gelen e -postaları izleyen Outlook için bir VBA makrodur ve tespit edilirse, “bir saldırganın verileri dışarı atmasını, dosyaları yüklemesini ve kurbanın bilgisayarında komutları yürütmesini sağlar” dedi araştırmacılar.
Tespitten kaçınmak için, arka kapı, araştırmacıların DLL yan yüklemeye karşı savunmasız olduğunu söylediği meşru imzalı ikili Microsoft onedrive.exe aracılığıyla dağıtılır. Kötü amaçlı dosya dll sspicli.dll VBA arka kapısını yükler ve makro güvenlik korumalarını devre dışı bırakır. C: \ ProgramData \ Testtemp.ini’de bulunan arka kapı yürütme zincirini başlatır.
Yükleyici, kodun başarılı bir şekilde yürütüldüğünü doğrulamak için nslookup yapmak için makroları %AppData %\ microsoft \ outlook \ vbaproject.otm olarak yüklemek ve bir webhook.site url’ye bir curl isteği göndermek için makroları yüklemek için üç PowerShell komutunu çalıştırır.
Kalıcılık oluşturmak
Yükleyici kalıcılık oluşturur, makro yürütmeyi mümkün kılar ve Windows Outlook kayıt defteri anahtarlarını değiştirerek diyalog mesajlarını devre dışı bırakır.
Outlook başlatıldığında veya yeni e -posta geldiğinde, kötü amaçlı yazılım, kod yürütmek için Application_mapilogonComplete ve Application_NewMAilex olaylarını kullanır. Henüz mevcut değilse, kötü amaçlı yazılım, kötü amaçlı yazılımlar tarafından oluşturulan eserleri depolamak için %sıcaklık %sıcaklıkta bir klasör oluşturur. Klasör, kötü amaçlı yazılım başladığında herhangi bir dosya içeriyorsa, e -posta adresine gönderilir a.matti444@proton[.]Ben“Re: 0” konu satırı ile, bundan sonra dosyalar başarılı bir şekilde gönderilip gönderilmediğine bakılmaksızın silinir.
İstemci bir e -posta aldığında, kötü amaçlı yazılım belirli bir dizeyi kontrol eder. Araştırmacılar, “Dize bulunursa, kötü amaçlı yazılım, yürütülecek komutları ayıklamak için e -postanın içeriğini ayrıştırır” dedi.
Tetikleme dizesi, araştırmacıların çalıştığı örnekte “günlük rapor” idi, ancak dize diğer durumlarda değişebilmesi mümkün olması için birden fazla tetikleyicinin yapılandırılabileceğini eklediler. Arka kapı etkinleştirildikten sonra, onu tetikleyen e -posta silindi.
Araştırmacılar, raporlarında raporlarının 3 Eylül’de yayınlandığı sırada 72 güvenlik satıcısından sadece dördü tarafından tespit edilen SHA256 Hashes’i içeriyordu:
Sspicli.dll: 5a88a15a1d764e635462f78a0cd958b17e6d22c716740febc114a408ef66705
Testtemp.ini: 8f4bca3c62268fffff045832d111a511e0bcfa25d5ab78c45973bd293379901