NotDoor, de mégis
A Spanyol S2 Grupo LAB52 felfedezett egy új, APT28-hoz köthető Outlook-backdoor-t, amelyet NotDoor-nak neveztek el – az elnevezés a kódon belül használt Nothing szóból ered. Ez a VBA-alapú backdoor célzottan figyeli a bejövő e-maileket meghatározott trigger szóra, és amint az észlelés megtörténik, lehetővé teszi az adatok kinyerését, fájlok feltöltését, illetve parancsok végrehajtását az áldozat számítógépén. A támadás különösen aggasztó, mert NATO-tagállamok különböző iparágaiban működő cégeket érintett.
A NotDoor rejtettségét egy felismerésmentes, DLL oldalirányú betöltési technikáját használó mechanizmus biztosítja: a támadók egy jogos, aláírt OneDrive.exe futtatható fájlba építik be az SSPICLI.dll nevű rosszindulatú DLL-t, amely feltelepíti a VBA makrót, deaktiválja a makróvédelmet, és elindítja az Outlook VBA backdoor telepítését az előre elhelyezett ini konfiguráció, valamint PowerShell parancsok segítségével. A parancsok elsőként átmásolják a konfigurációt az Outlook VBA projektbe, majd ellenőrző nslookup és curl hívásokkal tesztelik a telepítés sikerességét. Ezután érhető el a tartós jelenlét: a Windows Registry megfelelő kulcsainak módosításával engedélyezik a makró futást, beszimatoltatják a persistenciát, és elnémítják a felhasználónak megjelenő párbeszédeket, így a támadó kevésbé kelthet gyanút.
A NotDoor VBA kódja szándékosan obfuszkált, változó- és függvénynevei véletlenszerű karakterláncok, valamint egyedi titkosítást használ – véletlenszerű előtagokkal ellátott Base64-stringek formájában –, ami tovább nehezíti a felismerést. Az Outlook Application_MAPILogonComplete és Application_NewMailEx eseményei indítják el a károkozót Outlook lezárás vagy új e-mail érkezésekor. A malware létrehoz egy ideiglenes mappát is, ahonnan fájlokat exfiltrál egy ProtonMail címre (például Re: 0 tárggyal el is küldi és utána törli azokat).
A trigger e-mail felépítése – melynek tartalmaznia kell egy számazonosítót, egy cél e-mailezett címet, valamint titkosított parancsokat – lehetővé teszi, hogy több parancsot is végrehajtson az e-mail, és a válaszokat csatolmányokként visszaküldi. A NotDoor ráadásul automatikusan törli a kiváltó üzenetet, hogy minimalizálja a felfedés kockázatát.
Az APT28 –Fancy Bear – folyamatosan fejleszti eszköztárát, hogy képes legyen a meglévő védelmeket kijátszani. A NotDoor egy új könnyen elvész az flood eszköz, amely Outlook-on keresztül rejtett és hatékony kommunikációs, adatkinyerési és támadási csatornákat nyit meg.
