O grupo de hackers patrocinado pelo Estado russo, identificado como APT28, foi atribuído a uma nova backdoor para Microsoft Outlook chamada NotDoor, utilizada em ataques contra diversas empresas de diferentes setores em países membros da OTAN.
NotDoor "é uma macro VBA para Outlook projetada para monitorar e-mails recebidos em busca de uma palavra-chave específica", informou a equipe de threat intelligence LAB52 do S2 Grupo.
Quando um e-mail desse tipo é detectado, o atacante pode exfiltrar dados, fazer upload de arquivos e executar comandos no computador da vítima.
O nome da ameaça deriva do uso da palavra "Nothing" no código-fonte, acrescentou a empresa espanhola de cibersegurança.
Essa atividade destaca o abuso do Outlook como um canal furtivo de comunicação, exfiltração de dados e entrega de malware.
O vetor exato de acesso inicial utilizado para a entrega do malware ainda não foi identificado, mas análises indicam que ele é implantado via o executável do Microsoft OneDrive ("onedrive.exe") usando uma técnica chamada DLL side-loading.
Isso resulta na execução de uma DLL maliciosa ("SSPICLI.dll"), que instala a backdoor em VBA e desabilita as proteções de segurança contra macros.
Especificamente, o malware executa comandos em PowerShell codificados em Base64 para realizar uma série de ações que incluem beaconing para um webhook controlado pelo atacante hospedado no site webhook[.]site, configuração de persistência por meio de modificações no Registry, habilitação da execução de macros e desativação de mensagens de diálogo relacionadas ao Outlook para evitar a detecção.
NotDoor é um projeto ofuscado em Visual Basic for Applications (VBA) para o Outlook que utiliza os eventos Application.MAPILogonComplete e Application.NewMailEx para executar o payload malicioso sempre que o Outlook é iniciado ou um novo e-mail chega.
Em seguida, cria uma pasta em %TEMP%\Temp caso ela não exista, usando essa área como diretório temporário para armazenar arquivos TXT criados durante a operação e exfiltrá-los para um endereço Proton Mail.
Além disso, o malware analisa as mensagens recebidas em busca de uma string gatilho, como "Daily Report", que provoca a extração dos comandos incorporados a serem executados.
O malware suporta quatro comandos diferentes:
- cmd: executa comandos e retorna a saída padrão como anexo de e-mail
- cmdno: executa comandos sem retorno
- dwn: exfiltra arquivos do computador da vítima enviando-os como anexos de e-mail
- upl: envia arquivos para o computador da vítima
"Os arquivos exfiltrados pelo malware são salvos na pasta," afirmou o LAB52.
O conteúdo dos arquivos é codificado usando uma criptografia personalizada pelo malware, enviado por e-mail e depois deletado do sistema.
A divulgação ocorre enquanto o 360 Threat Intelligence Center, sediado em Pequim, detalhou a evolução das técnicas do grupo Gamaredon (também conhecido como APT-C-53), destacando seu uso do serviço Telegraph, do Telegram, como um resolvedor dead-drop para apontar para a infraestrutura de command-and-control (C2).
Os ataques também se destacam pelo abuso do Microsoft Dev Tunnels (devtunnels.ms), um serviço que permite aos desenvolvedores expor localmente serviços web para a internet de forma segura para testes e depuração, usado como domínio C2 para aumentar a furtividade.
"Essa técnica oferece vantagens duplas: primeiro, o endereço IP original do servidor C2 fica completamente mascarado pelos nós de retransmissão da Microsoft, bloqueando investigações de threat intelligence baseadas na reputação de IP," explicou a empresa de cibersegurança.
Segundo, ao explorar a capacidade do serviço de resetar nomes de domínio a cada minuto, os atacantes podem rotacionar rapidamente os nós da infraestrutura, aproveitando as credenciais confiáveis e a escala de tráfego de serviços de nuvem mainstream para manter uma operação de ameaça quase invisível e contínua.
As cadeias de ataque envolvem o uso de domínios falsos do Cloudflare Workers para distribuir um Visual Basic Script semelhante ao PteroLNK, que pode propagar a infecção para outras máquinas copiando-se para drivers USB conectados, além de baixar payloads adicionais.
"Essa cadeia de ataque demonstra um alto nível de design especializado, empregando quatro camadas de ofuscação (persistência no registro, compilação dinâmica, mascaramento de caminho, abuso de serviço em nuvem) para realizar uma operação totalmente oculta desde a implantação inicial até a exfiltração de dados," concluiu o 360 Threat Intelligence Center.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...