NATO ülkelerine yönelik casusluk kampanyalarına uzun zamandır bağlantılı Rus devlet destekli hack grubu APT28, Microsoft Outlook içinde yeni bir numara kullanarak yakalandı. S2 Grupo’daki tehdit istihbarat ekibi Lab52’deki araştırmacılar, NotDoor adlı özel bir arka kapı ortaya koydu ve Outlook’un e -posta istemcisi aracılığıyla veri çalmak ve saldırganlara uzaktan kumanda sağlamak için.
Notdoor, Outlook’un kendisinin uygulamalar (VBA) makro için görsel bir temel olarak çalışır. Gelen e -postaları, gizli işlevlerini etkinleştiren “Günlük Rapor” gibi özel bir tetikleme ifadesi için izleyerek çalışır. Tetiklendikten sonra, kötü amaçlı yazılım çalınan dosyaları gönderebilir, kurbanın makinesine yenilerini yükleyebilir ve komutları yürütebilirken, e -posta trafiğinin normal akışıyla harmanlanır.
Notdoor’un bir sistemin içine girme şekli eşit derecede ilgilidir. Lab52’ye göre, APT28 (diğer adıyla Fancy Bear, Sofacy, Strontium (Microsoft’un ataması), Sednit ve Piyon Storm) Microsoft’un imzaladığını kötüye kullanarak konuşlandırıyor OneDrive.exe DLL sideloading tekniğine karşı savunmasız olan dosya.
Saldırganlar, kötü niyetli bir DLL yüklüyor SSPICLI.dllOutlook’un makro güvenliğini devre dışı bırakan ve arka kapıyı yükleyen. Oradan, kötü amaçlı yazılım, Outlook’un makro proje klasörüne kopyalamak için kodlanmış PowerShell komutlarını kullanır, DNS sorgularıyla başarılı enfeksiyonu doğrulamak için webhook.siteve Windows kayıt defteri değişiklikleri yoluyla kalıcılık oluşturun.
Yerine yerleştirildikten sonra, Notdoor tespit edilmesi zor olacak şekilde tasarlanmıştır. VBA projesi, çırpılmış değişken adları ve kodunu rastgele baz64 olarak gizleyen bir String kodlama yöntemi ile gizlenmiştir. Çaldığı dosyalar şifrelenir, Outlook aracılığıyla gönderilir ve ardından kurbanın makinesinden silinir. Kötü amaçlı yazılım, onu etkinleştiren tetik e -postasını bile kaldırır ve savunucuların tespit etmesi için birkaç iz bırakır.
Lab52’nin raporu, Notdoor’un dört ana komutu desteklediğini buldu. Saldırganlar, çıktı ile veya döndürmeden, dosyaları ekspiltratla veya yeni yükler yüklemeden sistem komutlarını yürütebilir. Sonuçlar, “Re: 0” veya “Re:” gibi konuları kullanarak meşru görünen e -posta yanıtlarına paketlenir. Çalıntı dosyalar “rapor” veya “fatura” gibi ortak adlarla gizlenir ve .pdf, .docxveya .jpgbeklenen işyeri verilerine karışmalarını sağlar.
Sectigo kıdemli üyesi Jason Soroko, kampanyanın güvenlik ekiplerinin neden sadece çevre araçlarına güvenemeyeceğini gösterdiğini söylüyor.
“APT28, NotDoor adlı bir VBA makro arka kapı aracılığıyla Outlook’u gizli bir kanal olarak kötüye kullanıyor. Teslimat, kötü niyetli bir DLL kenar yükünü kullanıyor SSPICLI.dll İmzalı OneDrive.exe Makro korumalarını ve sahne komutlarını devre dışı bırakmak için. Makro, tetikleyici bir kelime için gelen postayı izler ve verileri dışarı atabilir, dosya yükleyebilir ve komutları çalıştırabilir. Bu, güvenilir ikili dosyalar ve normal posta akışı ile karışır ve çevre araçlarını ve temel algılamaları geçebilir ”dedi.
Outlook VBA’yı devre dışı bırakmak ve grup politikası aracılığıyla internet makrolarını engellemek de dahil olmak üzere derhal savunma adımları önermektedir. Ayrıca, ofis uygulamalarının çocuk işlemlerini başlatmasını önleyen Microsoft Defender saldırı yüzey azaltma kurallarının ve DLL yüklemesini kısıtlamak için Windows Defender Uygulama Kontrolü (WDAC) veya Applocker’ı kullanmayı önerir.
İzleme tarafında, ekipler, kodlanmış komutlarla onedrive yumurtlama powershell’i avlamalı ve olağandışı DNS aramaları veya giden trafiği uyarmalıdır. webhook.site.