Η κρατικά υποστηριζόμενη ρωσική ομάδα χάκερ APT28 (γνωστή και ως Fancy Bear) έχει συνδεθεί με τη χρήση ενός νέου backdoor για το Microsoft Outlook, με την ονομασία «NotDoor», σε επιθέσεις που στοχεύουν εταιρείες σε διάφορους τομείς σε χώρες μέλη του NATO.
Σύμφωνα με την ισπανική ομάδα κυβερνοασφάλειας S2 Grupo’s LAB52, το NotDoor είναι μια VBA μακροεντολή σχεδιασμένη για να παρακολουθεί τα εισερχόμενα emails για μια συγκεκριμένη λέξη-κλειδί ενεργοποίησης.
«Όταν ανιχνεύεται ένα τέτοιο email, επιτρέπει στον επιτιθέμενο να εξάγει δεδομένα, να ανεβάζει αρχεία και να εκτελεί εντολές στον υπολογιστή του θύματος», αναφέρει η LAB52. Η ονομασία προέρχεται από τη λέξη «Nothing» που εντοπίζεται στον πηγαίο κώδικα.
Κατάχρηση του Outlook για απόκρυψη δραστηριότητας
Η επίθεση υπογραμμίζει την κατάχρηση του Outlook ως διαύλου επικοινωνίας, εξαγωγής δεδομένων και παράδοσης κακόβουλου λογισμικού με ιδιαίτερη μυστικότητα.
Η μέθοδος αρχικής πρόσβασης δεν έχει ακόμη προσδιοριστεί, αλλά η ανάλυση δείχνει ότι η εγκατάσταση γίνεται μέσω του εκτελέσιμου της Microsoft OneDrive («onedrive.exe») με τεχνική DLL side-loading.
Αυτό οδηγεί στην εκτέλεση του κακόβουλου DLL («SSPICLI.dll»), το οποίο με τη σειρά του εγκαθιστά τη VBA μακροεντολή και απενεργοποιεί τις ρυθμίσεις ασφαλείας για μακροεντολές.
Απόκρυψη και επιμονή μέσω PowerShell και Registry
Χρησιμοποιούνται Base64-κωδικοποιημένες PowerShell εντολές για:
- σύνδεση με κακόβουλο webhook (webhook[.]site)
- εγκατάσταση επιμονής μέσω τροποποίησης του Μητρώου (Registry)
- ενεργοποίηση μακροεντολών
- απενεργοποίηση διαλόγων του Outlook ώστε να αποφευχθεί η ανίχνευση
Αυτοεκκίνηση και παρακολούθηση μηνυμάτων
Το NotDoor είναι ένα συγκεχυμένο (obfuscated) Visual Basic for Applications (VBA) project που βασίζεται στα γεγονότα Application.MAPILogonComplete και Application.NewMailEx, ώστε να ενεργοποιείται με κάθε εκκίνηση του Outlook ή άφιξη νέου email.
Δημιουργεί φάκελο στο %TEMP%\Temp (αν δεν υπάρχει ήδη), ο οποίος χρησιμοποιείται για προσωρινή αποθήκευση .TXT αρχείων που στη συνέχεια εξάγονται προς διεύθυνση Proton Mail.
Το κακόβουλο λογισμικό αναζητά trigger λέξεις, όπως «Daily Report», και όταν τις εντοπίζει, εξάγει ενσωματωμένες εντολές προς εκτέλεση.
Υποστηριζόμενες εντολές του NotDoor:
- cmd: εκτέλεση εντολών και αποστολή εξόδου ως συνημμένο email
- cmdno: εκτέλεση εντολών χωρίς αποστολή αποτελεσμάτων
- dwn: εξαγωγή αρχείων από τον υπολογιστή του θύματος ως συνημμένα
- upl: αποστολή αρχείων στον υπολογιστή του θύματος
«Τα εξαγόμενα αρχεία αποθηκεύονται στον φάκελο, κωδικοποιούνται με προσαρμοσμένη κρυπτογράφηση, αποστέλλονται μέσω email και μετά διαγράφονται από το σύστημα», αναφέρει η LAB52.
Συνεργαζόμενες τακτικές από άλλες ομάδες APT
Η αποκάλυψη έρχεται καθώς το Κέντρο Πληροφοριών Απειλών 360 με έδρα το Πεκίνο αποκάλυψε νέες τακτικές της ουκρανικής ομάδας Gamaredon (APT-C-53), η οποία χρησιμοποιεί την πλατφόρμα Telegraph της Telegram ως dead-drop resolver για κακόβουλες διευθύνσεις εντολών (C2).
Κατάχρηση Microsoft Dev Tunnels για stealth επικοινωνία
Επιπλέον, γίνεται χρήση της υπηρεσίας Microsoft Dev Tunnels (devtunnels.ms) ως κανάλια εντολών και ελέγχου (C2), γεγονός που:
- αποκρύπτει τη διεύθυνση IP του αρχικού C2 server πίσω από τα nodes της Microsoft
- επιτρέπει ταχύτατη περιστροφή domain names για αποφυγή ανίχνευσης
- εκμεταλλεύεται την εμπιστοσύνη σε mainstream cloud υπηρεσίες
Εξάπλωση μέσω USB και πολλαπλών επιπέδων απόκρυψης
Οι επιθέσεις περιλαμβάνουν ψεύτικα domains Cloudflare Workers που διανέμουν VBS αρχεία όπως το PteroLNK, ικανά να αυτοαντιγράφονται σε USB drives και να εγκαθιστούν επιπλέον φορτία.
«Η αλυσίδα επίθεσης επιδεικνύει υψηλή εξειδίκευση, χρησιμοποιώντας τέσσερα επίπεδα απόκρυψης – επίμονη παρουσία στο μητρώο, δυναμική μεταγλώττιση, παραπλάνηση μέσω ονομάτων αρχείων, κατάχρηση cloud υπηρεσιών – για την πλήρως μυστική λειτουργία από την αρχική εγκατάσταση ως την εξαγωγή δεδομένων», ανέφερε το 360 Threat Intelligence Center.
