Arriva NotDoor : La Backdoor per Microsoft Outlook di APT28

Un avanzato sistema di backdoor associato al noto gruppo di cyber spionaggio russo APT28 permette ai malintenzionati di scaricare dati, caricare file e impartire comandi su pc infettati. Questo sistema backdoor, recentemente scoperto e di ultima generazione, si concentra su Microsoft Outlook, dando la possibilità agli artefici dell’attacco di impossessarsi di informazioni e gestire il computer della persona colpita.

La backdoor è progettata per monitorare le email in arrivo della vittima alla ricerca di specifiche parole chiave, come “Report giornaliero”. Quando viene rilevata un’email contenente la parola chiave, il malware si attiva, consentendo agli aggressori di eseguire comandi dannosi. Il nome “NotDoor” è stato coniato dai ricercatori a causa dell’utilizzo della parola “Nothing” nel codice del malware.

Abilmente, il malware sfrutta le funzionalità legittime di Outlook per mantenersi nascosto e garantire la propria persistenza. Secondo S2 Grupo, vengono utilizzati trigger VBA basati su eventi specifici, ad esempio Application_MAPILogonComplete, che si attiva all’avvio dell’applicazione Outlook, e Application_NewMailEx, che risulta attivato in concomitanza con l’arrivo di nuove email. Le principali funzionalità del malware possono essere elencati in:

• Offuscamento del codice : il codice del malware è intenzionalmente codificato con nomi di variabili casuali e un metodo di codifica personalizzato per rendere difficile l’analisi.
• Caricamento laterale delle DLL : utilizza un file binario Microsoft legittimo e firmato OneDrive.exeper caricare un file DLL dannoso. Questa tecnica aiuta il malware a comparire come un processo attendibile.
• Modifica del Registro di sistema : per garantire la persistenza, NotDoor modifica le impostazioni del Registro di sistema di Outlook. Disattiva gli avvisi di sicurezza relativi alle macro e sopprime altri prompt, consentendo l’esecuzione silenziosa senza avvisare l’utente.

Il malware, è stato attribuito al gruppo di cyberminacce sponsorizzato dallo Stato russo APT28, noto anche come Fancy Bear. I risultati sono stati pubblicati da LAB52, l’unità di intelligence sulle minacce dell’azienda spagnola di sicurezza informatica S2 Grupo.

NotDoor è un malware stealth scritto in Visual Basic for Applications (VBA), il linguaggio di scripting utilizzato per automatizzare le attività nelle applicazioni di Microsoft Office. Per eludere il rilevamento da parte del software di sicurezza, NotDoor impiega diverse tecniche sofisticate:

Una volta attiva, la backdoor crea una directory nascosta per archiviare i file temporanei, che vengono poi esfiltrati in un indirizzo email controllato dall’aggressore prima di essere eliminati. Il malware conferma la sua esecuzione corretta inviando callback a un sito webhook.

APT28 è un noto gruppo criminale legato alla Direzione Centrale di Intelligence (GRU) dello Stato Maggiore russo. Attivo da oltre un decennio, il gruppo è responsabile di numerosi attacchi informatici di alto profilo, tra cui la violazione del Comitato Nazionale Democratico (DNC) nel 2016 durante le elezioni presidenziali statunitensi e le intrusioni nell’Agenzia Mondiale Antidoping (WADA).

La recente introduzione di questo strumento testimonia l’evoluzione costante del gruppo e la sua abilità nell’elaborare strategie innovative per eludere i sistemi di difesa contemporanei. Il malware NotDoor, come riferito da S2 Grupo, ha già avuto un utilizzo esteso per mettere a rischio la sicurezza di molteplici aziende appartenenti a diversi settori economici all’interno degli stati membri NATO.

Per difendersi da questa minaccia, gli esperti di sicurezza raccomandano alle organizzazioni di disattivare le macro per impostazione predefinita sui propri sistemi, di monitorare attentamente qualsiasi attività insolita in Outlook e di esaminare i trigger basati sulla posta elettronica che potrebbero essere sfruttati da tale malware.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.