Az APT28 (más néven Fancy Bear) újabb támadási hulláma került napvilágra, amely során egy eddig ismeretlen, NotDoor névre keresztelt backdoort alkalmaztak. A támadások több NATO tagországban, különböző iparágakban működő vállalatot és szervezetet céloztak meg.
A NotDoor egy Outlook VBA makró formájában kerül telepítésre, amely a beérkező e-maileket figyeli olyan kulcsszavak után kutatva, mint például “Daily Report”. Ha ilyen trigger szöveget talál, a kártevő aktiválódik, és az alábbi funkciókat biztosítja a támadóknak:
- Parancsvégrehajtás: PowerShell alapú utasítások futtatása.
- Adatszivárogtatás: fájlok kimentése és e-mail csatolmányként továbbítása a támadóknak.
- Fájlátadás: külső fájlok feltöltése az áldozat gépére.
- Visszajelzés: a végrehajtott parancsok kimenetének továbbítása e-mailben.
A kártevő ideiglenes tárolóként a %TEMP%\Temp mappát használja, ahol a műveletek során létrehozott szövegfájlokat tartja, majd titkosított formában küldi ki az adatokat egy Proton Mail címre, mielőtt törölné őket a rendszerből.
A kezdeti fertőzési vektor még nem ismert, ugyanakkor az elemzések szerint a kártevőt a Microsoft OneDrive végrehajtható állományán keresztül (onedrive[.]exe) juttatják a célpontokhoz, DLL side-loading technika segítségével. Ez a módszer a legitim OneDrive folyamaton belül egy rosszindulatú SSPICLI[.]dll betöltését teszi lehetővé. A telepítés során a NotDoor kikapcsolja a makróvédelmet, perzisztenciát épít a rendszerleíró adatbázisban, és letiltja az Outlook felugró figyelmeztetéseit.
A NotDoor a támadói infrastruktúrával több szinten kommunikál:
- Webhook[.]site alapú beaconing.
- E-mail alapú adatküldés Proton Mail fiókokba.
- A makró obfuszkált VBA kódja Outlook eseményekhez kötődik (Application.MAPILogonComplete, Application.NewMailEx), így minden indításnál és új üzenet érkezésekor lefut.
A vizsgálat során az alábbi indikátorok kerültek azonosításra:
SHA256 fájlok:
- fcb6dc17f96af2568d7fa97a6087e4539285141206185aec5c85fa9cf73c9193 – onedrive[.]exe (legit)
- 5a88a15a1d764e635462f78a0cd958b17e6d22c716740febc114a408eef66705 – SSPICLI[.]dll
- 8f4bca3c62268fff0458322d111a511e0bcfba255d5ab78c45973bd293379901 – testtemp[.]ini
Hálózati indikátorok:
- a[.]matti444@proton[.]me – e-mail az adatkinyeréshez
Fájlrendszer és mappák:
- %Temp%\Test – backdoor által létrehozott ideiglenes mappa
- c:\programdata\testtemp[.]ini – a támadás során észlelt fájl