APT28 olarak izlenen Rus devlet destekli hack grubu, yeni bir Microsoft Outlook Backdoor’a atfedildi. Nota ekmek NATO üye ülkelerinde farklı sektörlerden birden fazla şirketi hedefleyen saldırılarda.
S2 Grupo’nun LAB52 Tehdit İstihbarat Ekibi, NOTDOOR “, belirli bir tetikleyici kelime için gelen e -postaları izlemek için tasarlanmış Outlook için bir VBA makrodur.” Dedi. “Böyle bir e -posta algılandığında, bir saldırganın verileri dışarı atmasını, dosya yüklemesini ve kurbanın bilgisayarındaki komutları yürütmesini sağlar.”
İspanyol siber güvenlik şirketi, eserin kaynak kodunda “hiçbir şey” kelimesinin kullanımından adını alıyor. Etkinlik, gizli bir iletişim, veri açığa çıkma ve kötü amaçlı yazılım dağıtım kanalı olarak görünümün kötüye kullanılmasını vurgulamaktadır.
Kötü amaçlı yazılımları teslim etmek için kullanılan tam başlangıç erişim vektörü şu anda bilinmemektedir, ancak analiz, DLL yan yükleme olarak adlandırılan bir teknik kullanarak Microsoft’un OneDrive Executable (“OneDrive.exe”) aracılığıyla dağıtıldığını gösterir.
Bu, daha sonra VBA arka kapısını yükleyen ve makro güvenlik korumalarını devre dışı bırakan kötü amaçlı bir DLL’nin (“sspicli.dll”) yürütülmesine yol açar.
Özellikle, saldırgan kontrollü bir Webhook’a işaretlemeyi içeren bir dizi eylem gerçekleştirmek için Base64 kodlu PowerShell komutlarını çalıştırır[.]Site, kayıt defteri değişiklikleri yoluyla kalıcılığın ayarlanması, makro yürütmenin sağlanması ve outlook ile ilgili diyalog mesajlarını algılamadan kaçınmak için kapatma.
Notdoor, Outlook’u çalıştıran veya yeni bir e -posta geldiğinde yük yükü çalıştırmak için uygulama.MapilogonComplete ve Application.newmailex olaylarını kullanan Outlook için Uygulamalar için Gizli Visual Basic (VBA) projesi olarak tasarlanmıştır.
Daha sonra, mevcut değilse %Temp %\ temp yolunda bir klasör oluşturmaya devam eder, bu işlem sırasında oluşturulan txt dosyalarını depolamak ve bunları bir Proton posta adresine sıyrılacak bir evreleme klasörü olarak kullanır. Ayrıca, “Günlük Rapor” gibi bir tetikleme dizesi için gelen mesajları da ayrıştırır ve yürütülmesi gereken gömülü komutları çıkarmasına neden olur.
Kötü amaçlı yazılım dört farklı komutu destekler –
- CMD, komutları yürütmek ve standart çıktıyı e -posta eki olarak döndürmek için
- cmdno, komutları yürütmek için
- DWN, dosyaları mağdurun bilgisayarından e -posta ekleri olarak göndererek dışarı atmak için
- UPL, kurbanın bilgisayarına dosya bırakmak için
Lab52, “Kötü amaçlı yazılımlar tarafından feshedilen dosyalar klasöre kaydedilir.” Dedi. “Dosya içeriği, e -posta yoluyla gönderilen ve daha sonra sistemden silinen kötü amaçlı yazılımların özel şifrelemesi kullanılarak kodlanır.”
Açıklama, Pekin merkezli 360 Tehdit İstihbarat Merkezi, Gamaredon’un (AKA APT-C-53, AKA APT-C-53) gelişen Tradecraft’ı detaylandırarak, Telegram’a ait telgrafı, komuta ve kontrol (C2) altyapısına işaret etmek için ölü damla çözücü olarak vurguluyor.
Saldırılar ayrıca, geliştiricilerin yerel web hizmetlerini test ve hata ayıklama amacıyla güvenli bir şekilde maruz bırakmalarını sağlayan Microsoft Dev Tünellerinin (Devtunnels.ms) kötüye kullanılması için de dikkat çekicidir.
Siber güvenlik şirketi, “Bu teknik iki yönlü avantajlar sağlıyor: Birincisi, orijinal C2 Server IP, Microsoft’un röle düğümleri tarafından tamamen maskeleniyor ve IP itibarına dayalı tehdit istihbarat izleme geri dönüşlerini engelliyor.” Dedi.
“İkincisi, hizmetin etki alanı adlarını dakikalarca sıfırlama yeteneğinden yararlanarak, saldırganlar, neredeyse sıfır maruz kalma sürekli tehdit işlemini sürdürmek için ana akım bulut hizmetlerinin güvenilir kimlik bilgilerini ve trafik ölçeğini hızla döndürebilir.”
Saldırı zincirleri, Pterolnk gibi bir görsel temel komut dosyasını dağıtmak için Bogus Cloudflare çalışanları alanlarının kullanımını gerektirir, bu da kendisini bağlı USB sürücülerine kopyalayarak diğer makinelere yayabilir ve ek indirebilir
yükler.
360 Tehdit İstihbarat Merkezi, “Bu saldırı zinciri, ilk implantasyondan veri söndürmesine kadar tamamen gizli bir operasyon yürütmek için dört katlama (kayıt defteri kalıcılığı, dinamik derleme, yol maskesi, bulut hizmeti kötüye kullanımı) kullanan yüksek düzeyde özel bir tasarım gösteriyor.” Dedi.