Hiszpańska firma S2 Grupo, a w szczególności jej zespół Lab52, odkryła nowy backdoor w Microsoft Outlook. Malware, nazwany NotDoor, jest używany przez grupę APT28 (Fancy Bear) – powiązaną z rosyjskimi służbami – do działalności wywiadowczej wymierzonej w kraje NATO.

Mechanizm działania

Najważniejsze elementy działania tego ataku to:

• Wektor infekcji:
  Kluczową rolę pełni legalny proces OneDrive.exe, który dzięki techniki DLL side-loading ładuje złośliwą bibliotekę SSPICLI.dll.

• Instalacja backdoora VBA:
  Po uruchomieniu biblioteki możliwa jest instalacja makr VBA w Outlooku, pozwalających przechwytywać wiadomości i wykonywać zdalne polecenia.

• Trigger i sterowanie:
  Atak uruchamia się po otrzymaniu wiadomości zawierającej określony ciąg znaków, np. „Daily Report”. Wiadomość sterująca musi mieć ściśle określoną strukturę – zawiera słowo kodowe, identyfikator, numer komendy, zaszyfrowany adres odbiorcy i komendę. Po wykonaniu polecenia wiadomość jest usuwana, aby zatrzeć ślady.

• Trwałość działania (persistentność):
  Zmiany w rejestrze systemowym, np. w kluczu Software\Microsoft\Office\16.0\Outlook\Security, umożliwiają automatyczne uruchamianie makr przy starcie Outlooka. Dodatkowo wyłączane są ostrzeżenia o uruchamianiu makr, co sprawia, iż użytkownik nie jest informowany o zagrożeniu.

• Eksfiltracja danych:
  Skopiowane pliki zapisywane są w katalogu tymczasowym %TEMP%\Temp, a następnie wysyłane jako załączniki do wiadomości e-mail na adres kontrolowany przez atakujących. Po wysłaniu dane są usuwane z dysku, by utrudnić wykrycie incydentu.

Skala i znaczenie

Malware NotDoor jest aktywnie wykorzystywany w kampaniach wymierzonych w państwa NATO. W ataku użyto powszechnie dostępnych komponentów, takich jak OneDrive, Outlook, PowerShell i makra VBA. Dzięki temu złośliwe działania łatwo ukrywają się wśród normalnej aktywności systemu i aplikacji. Technika living-off-the-land, czyli wykorzystywanie legalnego systemu do celów przestępczych, dodatkowo utrudnia detekcję.

Zalecenia dla obrony

1. Monitorowanie i ograniczanie użycia makr w Outlooku oraz innych aplikacjach biurowych.

2. Weryfikacja bibliotek DLL ładowanych przez procesy takie jak OneDrive.exe, aby przeciwdziałać atakom typu side-loading.

3. Ustawienie polityk bezpieczeństwa blokujących automatyczne uruchamianie kodu po otrzymaniu wiadomości e-mail.

4. Audyt rejestru oraz konfiguracji dotyczących makr i ostrzeżeń bezpieczeństwa.

5. Analiza ruchu sieciowego w poszukiwaniu nietypowych połączeń, w tym prób kontaktu z serwerami sterującymi.

6. Szkolenie pracowników z zakresu rozpoznawania podejrzanych wiadomości i ryzyka związanego z uruchamianiem makr.

I na koniec…

NotDoor to przykład wysoce zaawansowanego ataku, który pokazuje, jak kreatywnie grupy APT potrafią wykorzystywać popularne narzędzia biurowe do działań szpiegowskich. Ochrona przed takimi zagrożeniami wymaga nie tylko skutecznych systemów wykrywania, ale także dbałości o bezpieczeństwo aplikacji końcowych i świadomego korzystania z poczty elektronicznej.

Źródło: sekurak.pl

Wyszukując oferty, stawiam na te najbardziej opłacalne. Wybierając poniższe usługi, wspierasz blog.

Wirtualne numery SIM – z tym numerem założysz konto i zdobędziesz zniżki za pierwsze zamówienie na UberEats czy pyszne.[l