Állami hackercsoport támadja a NATO tagországokat


szeptember 8. 13:13

Az APT28 (más néven Fancy Bear) újabb támadási hulláma került napvilágra, amely során egy eddig ismeretlen, NotDoor névre keresztelt backdoort alkalmaztak. A támadások több NATO tagországban, különböző iparágakban működő vállalatot és szervezetet céloztak meg.

A NotDoor egy Outlook VBA makró formájában kerül telepítésre, amely a beérkező e-maileket figyeli olyan kulcsszavak után kutatva, mint például “Daily Report”. Ha ilyen trigger szöveget talál, a kártevő aktiválódik, és az alábbi funkciókat biztosítja a támadóknak:

  • Parancsvégrehajtás: PowerShell alapú utasítások futtatása.
  • Adatszivárogtatás: fájlok kimentése és e-mail csatolmányként továbbítása a támadóknak.
  • Fájlátadás: külső fájlok feltöltése az áldozat gépére.
  • Visszajelzés: a végrehajtott parancsok kimenetének továbbítása e-mailben.

A kártevő ideiglenes tárolóként a %TEMP%\Temp mappát használja, ahol a műveletek során létrehozott szövegfájlokat tartja, majd titkosított formában küldi ki az adatokat egy Proton Mail címre, mielőtt törölné őket a rendszerből.

A kezdeti fertőzési vektor még nem ismert, ugyanakkor az elemzések szerint a kártevőt a Microsoft OneDrive végrehajtható állományán keresztül (onedrive[.]exe) juttatják a célpontokhoz, DLL side-loading technika segítségével. Ez a módszer a legitim OneDrive folyamaton belül egy rosszindulatú SSPICLI[.]dll betöltését teszi lehetővé. A telepítés során a NotDoor kikapcsolja a makróvédelmet, perzisztenciát épít a rendszerleíró adatbázisban, és letiltja az Outlook felugró figyelmeztetéseit.

A NotDoor a támadói infrastruktúrával több szinten kommunikál:

  • Webhook[.]site alapú beaconing.
  • E-mail alapú adatküldés Proton Mail fiókokba.
  • A makró obfuszkált VBA kódja Outlook eseményekhez kötődik (Application.MAPILogonComplete, Application.NewMailEx), így minden indításnál és új üzenet érkezésekor lefut.

A vizsgálat során az alábbi indikátorok kerültek azonosításra:

SHA256 fájlok:

  • fcb6dc17f96af2568d7fa97a6087e4539285141206185aec5c85fa9cf73c9193 – onedrive[.]exe (legit)
  • 5a88a15a1d764e635462f78a0cd958b17e6d22c716740febc114a408eef66705 – SSPICLI[.]dll
  • 8f4bca3c62268fff0458322d111a511e0bcfba255d5ab78c45973bd293379901 – testtemp[.]ini

Hálózati indikátorok:

  • a[.]matti444@proton[.]me – e-mail az adatkinyeréshez

Fájlrendszer és mappák:

  • %Temp%\Test – backdoor által létrehozott ideiglenes mappa
  • c:\programdata\testtemp[.]ini – a támadás során észlelt fájl

(thehackernews.com)

Címkék

APT28 DLL side-loading Fancy Bear NotDoor Outlook VBA makró APT otthoni kiberbiztonság szervezeti kiberbiztonság

Kapcsolódó tartalmak: