Arriva NotDoor : La Backdoor per Microsoft Outlook di APT28

Un avanzato sistema di backdoor associato al noto gruppo di cyber spionaggio russo APT28 permette ai malintenzionati di scaricare dati, caricare file e impartire comandi su pc infettati. Questo sistema backdoor, recentemente scoperto e di ultima generazione, si concentra su Microsoft Outlook, dando la possibilità agli artefici dell’attacco di impossessarsi di informazioni e gestire il computer della persona colpita.

La backdoor è progettata per monitorare le email in arrivo della vittima alla ricerca di specifiche parole chiave, come “Report giornaliero”. Quando viene rilevata un’email contenente la parola chiave, il malware si attiva, consentendo agli aggressori di eseguire comandi dannosi. Il nome “NotDoor” è stato coniato dai ricercatori a causa dell’utilizzo della parola “Nothing” nel codice del malware.

Abilmente, il malware sfrutta le funzionalità legittime di Outlook per mantenersi nascosto e garantire la propria persistenza. Secondo S2 Grupo, vengono utilizzati trigger VBA basati su eventi specifici, ad esempio Application_MAPILogonComplete, che si attiva all’avvio dell’applicazione Outlook, e Application_NewMailEx, che risulta attivato in concomitanza con l’arrivo di nuove email. Le principali funzionalità del malware possono essere elencati in:

• Offuscamento del codice : il codice del malware è intenzionalmente codificato con nomi di variabili casuali e un metodo di codifica personalizzato per rendere difficile l’analisi.
• Caricamento laterale delle DLL : utilizza un file binario Microsoft legittimo e firmato OneDrive.exeper caricare un file DLL dannoso. Questa tecnica aiuta il malware a comparire come un processo attendibile.
• Modifica del Registro di sistema : per garantire la persistenza, NotDoor modifica le impostazioni del Registro di sistema di Outlook. Disattiva gli avvisi di sicurezza relativi alle macro e sopprime altri prompt, consentendo l’esecuzione silenziosa senza avvisare l’utente.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il malware, è stato attribuito al gruppo di cyberminacce sponsorizzato dallo Stato russo APT28, noto anche come Fancy Bear. I risultati sono stati pubblicati da LAB52, l’unità di intelligence sulle minacce dell’azienda spagnola di sicurezza informatica S2 Grupo.

NotDoor è un malware stealth scritto in Visual Basic for Applications (VBA), il linguaggio di scripting utilizzato per automatizzare le attività nelle applicazioni di Microsoft Office. Per eludere il rilevamento da parte del software di sicurezza, NotDoor impiega diverse tecniche sofisticate:

Una volta attiva, la backdoor crea una directory nascosta per archiviare i file temporanei, che vengono poi esfiltrati in un indirizzo email controllato dall’aggressore prima di essere eliminati. Il malware conferma la sua esecuzione corretta inviando callback a un sito webhook.

APT28 è un noto gruppo criminale legato alla Direzione Centrale di Intelligence (GRU) dello Stato Maggiore russo. Attivo da oltre un decennio, il gruppo è responsabile di numerosi attacchi informatici di alto profilo, tra cui la violazione del Comitato Nazionale Democratico (DNC) nel 2016 durante le elezioni presidenziali statunitensi e le intrusioni nell’Agenzia Mondiale Antidoping (WADA).

La recente introduzione di questo strumento testimonia l’evoluzione costante del gruppo e la sua abilità nell’elaborare strategie innovative per eludere i sistemi di difesa contemporanei. Il malware NotDoor, come riferito da S2 Grupo, ha già avuto un utilizzo esteso per mettere a rischio la sicurezza di molteplici aziende appartenenti a diversi settori economici all’interno degli stati membri NATO.

Per difendersi da questa minaccia, gli esperti di sicurezza raccomandano alle organizzazioni di disattivare le macro per impostazione predefinita sui propri sistemi, di monitorare attentamente qualsiasi attività insolita in Outlook e di esaminare i trigger basati sulla posta elettronica che potrebbero essere sfruttati da tale malware.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.