Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca
Red Hot Cyber Academy

Arriva NotDoor : La Backdoor per Microsoft Outlook di APT28

Redazione RHC : 4 Settembre 2025 10:00

Un avanzato sistema di backdoor associato al noto gruppo di cyber spionaggio russo APT28 permette ai malintenzionati di scaricare dati, caricare file e impartire comandi su pc infettati. Questo sistema backdoor, recentemente scoperto e di ultima generazione, si concentra su Microsoft Outlook, dando la possibilità agli artefici dell’attacco di impossessarsi di informazioni e gestire il computer della persona colpita.

La backdoor è progettata per monitorare le email in arrivo della vittima alla ricerca di specifiche parole chiave, come “Report giornaliero”. Quando viene rilevata un’email contenente la parola chiave, il malware si attiva, consentendo agli aggressori di eseguire comandi dannosi. Il nome “NotDoor” è stato coniato dai ricercatori a causa dell’utilizzo della parola “Nothing” nel codice del malware.

Abilmente, il malware sfrutta le funzionalità legittime di Outlook per mantenersi nascosto e garantire la propria persistenza. Secondo S2 Grupo, vengono utilizzati trigger VBA basati su eventi specifici, ad esempio Application_MAPILogonComplete, che si attiva all’avvio dell’applicazione Outlook, e Application_NewMailEx, che risulta attivato in concomitanza con l’arrivo di nuove email. Le principali funzionalità del malware possono essere elencati in:

  • Offuscamento del codice : il codice del malware è intenzionalmente codificato con nomi di variabili casuali e un metodo di codifica personalizzato per rendere difficile l’analisi.
  • Caricamento laterale delle DLL : utilizza un file binario Microsoft legittimo e firmato OneDrive.exeper caricare un file DLL dannoso. Questa tecnica aiuta il malware a comparire come un processo attendibile.
  • Modifica del Registro di sistema : per garantire la persistenza, NotDoor modifica le impostazioni del Registro di sistema di Outlook. Disattiva gli avvisi di sicurezza relativi alle macro e sopprime altri prompt, consentendo l’esecuzione silenziosa senza avvisare l’utente.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


    • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Il malware, è stato attribuito al gruppo di cyberminacce sponsorizzato dallo Stato russo APT28, noto anche come Fancy Bear. I risultati sono stati pubblicati da LAB52, l’unità di intelligence sulle minacce dell’azienda spagnola di sicurezza informatica S2 Grupo.

    NotDoor è un malware stealth scritto in Visual Basic for Applications (VBA), il linguaggio di scripting utilizzato per automatizzare le attività nelle applicazioni di Microsoft Office. Per eludere il rilevamento da parte del software di sicurezza, NotDoor impiega diverse tecniche sofisticate:

    Una volta attiva, la backdoor crea una directory nascosta per archiviare i file temporanei, che vengono poi esfiltrati in un indirizzo email controllato dall’aggressore prima di essere eliminati. Il malware conferma la sua esecuzione corretta inviando callback a un sito webhook.

    APT28 è un noto gruppo criminale legato alla Direzione Centrale di Intelligence (GRU) dello Stato Maggiore russo. Attivo da oltre un decennio, il gruppo è responsabile di numerosi attacchi informatici di alto profilo, tra cui la violazione del Comitato Nazionale Democratico (DNC) nel 2016 durante le elezioni presidenziali statunitensi e le intrusioni nell’Agenzia Mondiale Antidoping (WADA).

    La recente introduzione di questo strumento testimonia l’evoluzione costante del gruppo e la sua abilità nell’elaborare strategie innovative per eludere i sistemi di difesa contemporanei. Il malware NotDoor, come riferito da S2 Grupo, ha già avuto un utilizzo esteso per mettere a rischio la sicurezza di molteplici aziende appartenenti a diversi settori economici all’interno degli stati membri NATO.

    Per difendersi da questa minaccia, gli esperti di sicurezza raccomandano alle organizzazioni di disattivare le macro per impostazione predefinita sui propri sistemi, di monitorare attentamente qualsiasi attività insolita in Outlook e di esaminare i trigger basati sulla posta elettronica che potrebbero essere sfruttati da tale malware.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Arriva NotDoor : La Backdoor per Microsoft Outlook di APT28
    Di Redazione RHC - 04/09/2025

    Un avanzato sistema di backdoor associato al noto gruppo di cyber spionaggio russo APT28 permette ai malintenzionati di scaricare dati, caricare file e impartire comandi su pc infettati. Questo sistem...

    Red Hot Cyber Conference 2026: Aperte le Sponsorizzazioni per la Quinta Edizione a Roma
    Di Redazione RHC - 04/09/2025

    La Red Hot Cyber Conference è ormai un appuntamento fisso per la community di Red Hot Cyber e per tutti coloro che operano o nutrono interesse verso il mondo delle tecnologie digitali e della sicurez...

    Hexstrike-AI scatena il caos! Zero-day sfruttati in tempo record
    Di Redazione RHC - 04/09/2025

    Il rilascio di Hexstrike-AI segna un punto di svolta nel panorama della sicurezza informatica. Il framework, presentato come uno strumento di nuova generazione per red team e ricercatori, è in grado ...

    Nuovi ricatti: se non paghi, daremo tutti i tuoi dati in pasto alle intelligenze artificiali!
    Di Redazione RHC - 03/09/2025

    Il gruppo di hacker LunaLock ha aggiunto un nuovo elemento al classico schema di estorsione, facendo leva sui timori di artisti e clienti. Il 30 agosto, sul sito web Artists&Clients, che mette in ...

    LockBit 5.0 : segnali di una nuova e possibile “Rinascita”?
    Di Pietro Melillo - 03/09/2025

    LockBit rappresenta una delle più longeve e strutturate ransomware gang degli ultimi anni, con un modello Ransomware-as-a-Service (RaaS)che ha segnato in maniera profonda l’ecosistema criminale. A ...