关键词
网络攻击
网络安全公司S2 Grupo(LAB52 威胁情报团队)披露,俄罗斯国家支持的黑客组织APT28(又称 Fancy Bear)近期在针对多个北约成员国企业的攻击中,使用了一种名为NotDoor的新型后门程序。
利用 Outlook 作为隐蔽通道
LAB52 表示,NotDoor 是一个专门针对Microsoft Outlook的 VBA 宏后门,能够监控邮件内容,当检测到特定关键词时触发执行。攻击者可借此:
窃取数据并发送至外部邮箱;
上传或下载文件;
在受害者计算机上远程执行命令。
该后门之所以命名为 “NotDoor”,源于其源码中反复使用的 “Nothing” 一词。研究人员指出,这一活动凸显了 Outlook 被黑客滥用为隐蔽的通信、数据渗漏及恶意代码投递渠道。
攻击链分析
尽管初始入侵手法尚不明确,但调查显示该恶意软件借助Microsoft OneDrive 可执行文件(onedrive.exe)进行DLL 旁加载攻击,进而运行恶意 DLL(SSPICLI.dll),安装 VBA 后门并关闭宏安全防护。
攻击流程包括:
执行 Base64 编码的 PowerShell 命令;
向攻击者控制的webhook[.]site信标通信;
修改注册表以建立持久化;
关闭 Outlook 警告弹窗以规避检测。
后门被设计为高度混淆的 VBA 工程,利用Application.MAPILogonComplete与Application.NewMailEx两个事件,在每次 Outlook 启动或新邮件到达时执行载荷。
此外,它会在%TEMP%\Temp路径下建立隐藏目录,存储运行过程中生成的 TXT 文件,并将其通过Proton Mail邮箱外传。黑客可在邮件中嵌入诸如 “Daily Report” 的触发词,令其解析并执行嵌入命令。
后门支持的指令
NotDoor 具备四类核心功能:
cmd:执行命令并将结果作为附件回传;
cmdno:静默执行命令;
dwn:窃取文件并通过邮件附件外传;
upl:向受害机投递文件。
LAB52 指出,所有被窃取的文件均经过自定义加密,再通过邮件发送,随后从本地系统删除。
背景与更广泛趋势
该披露恰逢奇安信 360 威胁情报中心发布另一份报告,揭示Gamaredon(APT-C-53)在近期攻击中利用 Telegram 旗下Telegraph平台作为“死投递点”来隐藏 C2(命令与控制)基础设施。
报告还指出,攻击者滥用Microsoft Dev Tunnels(devtunnels.ms)作为 C2 通道,以掩盖真实服务器 IP,并凭借服务可频繁刷新域名的特性,实现快速切换基础设施,从而维持接近零暴露的持续攻击活动。
更复杂的攻击链还涉及伪造的Cloudflare Workers 域名,用于分发 VBScript(如 PteroLNK),该脚本可自我传播至连接的 U 盘设备并下载更多恶意载荷。
360 总结称,这一攻击链展现了高度定制化设计,结合注册表持久化、动态编译、路径伪装以及云服务滥用四重混淆手法,实现了从初始植入到数据外传的全流程隐匿操作。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴