Gonepostal
A Kroll elemzése bemutatja a Gonepostal kémprogramot, amit a Fancy Bear (APT28) csoport hozott létre kémkedés céljára. A malware egy dropper DLL-re (SSPICLI.dll) és egy elrejtett, jelszóval védett VbaProject.OTM fájlra épül, amely Outlook-makrókat tartalmaz. Ezek segítségével a támadók hátsóajtóként használhatják az Outlookot, és emailes módszerrel vezérelhetik az eszközt (C2) – mindezt látszat szerint normális működés közben teszik meg.
A biztonsági eszközök által nehezen észlelhető módszerrel, egy széles körben használt, legitim alkalmazáson keresztül – Outlook – biztosítanak tartós, hitelesített hozzáférést a támadók, minimális gyanút keltve. Ez a living-off-the-land (LotL) taktikára példa, mindennapi eszközök és kommunikáció felhasználásával működik a kémtevékenység.
