Redazione RHC : 4 Settembre 2025 10:00
Un avanzato sistema di backdoor associato al noto gruppo di cyber spionaggio russo APT28 permette ai malintenzionati di scaricare dati, caricare file e impartire comandi su pc infettati. Questo sistema backdoor, recentemente scoperto e di ultima generazione, si concentra su Microsoft Outlook, dando la possibilità agli artefici dell’attacco di impossessarsi di informazioni e gestire il computer della persona colpita.
La backdoor è progettata per monitorare le email in arrivo della vittima alla ricerca di specifiche parole chiave, come “Report giornaliero”. Quando viene rilevata un’email contenente la parola chiave, il malware si attiva, consentendo agli aggressori di eseguire comandi dannosi. Il nome “NotDoor” è stato coniato dai ricercatori a causa dell’utilizzo della parola “Nothing” nel codice del malware.
Abilmente, il malware sfrutta le funzionalità legittime di Outlook per mantenersi nascosto e garantire la propria persistenza. Secondo S2 Grupo, vengono utilizzati trigger VBA basati su eventi specifici, ad esempio Application_MAPILogonComplete, che si attiva all’avvio dell’applicazione Outlook, e Application_NewMailEx, che risulta attivato in concomitanza con l’arrivo di nuove email. Le principali funzionalità del malware possono essere elencati in:
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Il malware, è stato attribuito al gruppo di cyberminacce sponsorizzato dallo Stato russo APT28, noto anche come Fancy Bear. I risultati sono stati pubblicati da LAB52, l’unità di intelligence sulle minacce dell’azienda spagnola di sicurezza informatica S2 Grupo.
NotDoor è un malware stealth scritto in Visual Basic for Applications (VBA), il linguaggio di scripting utilizzato per automatizzare le attività nelle applicazioni di Microsoft Office. Per eludere il rilevamento da parte del software di sicurezza, NotDoor impiega diverse tecniche sofisticate:
Una volta attiva, la backdoor crea una directory nascosta per archiviare i file temporanei, che vengono poi esfiltrati in un indirizzo email controllato dall’aggressore prima di essere eliminati. Il malware conferma la sua esecuzione corretta inviando callback a un sito webhook.
APT28 è un noto gruppo criminale legato alla Direzione Centrale di Intelligence (GRU) dello Stato Maggiore russo. Attivo da oltre un decennio, il gruppo è responsabile di numerosi attacchi informatici di alto profilo, tra cui la violazione del Comitato Nazionale Democratico (DNC) nel 2016 durante le elezioni presidenziali statunitensi e le intrusioni nell’Agenzia Mondiale Antidoping (WADA).
La recente introduzione di questo strumento testimonia l’evoluzione costante del gruppo e la sua abilità nell’elaborare strategie innovative per eludere i sistemi di difesa contemporanei. Il malware NotDoor, come riferito da S2 Grupo, ha già avuto un utilizzo esteso per mettere a rischio la sicurezza di molteplici aziende appartenenti a diversi settori economici all’interno degli stati membri NATO.
Per difendersi da questa minaccia, gli esperti di sicurezza raccomandano alle organizzazioni di disattivare le macro per impostazione predefinita sui propri sistemi, di monitorare attentamente qualsiasi attività insolita in Outlook e di esaminare i trigger basati sulla posta elettronica che potrebbero essere sfruttati da tale malware.
Un avanzato sistema di backdoor associato al noto gruppo di cyber spionaggio russo APT28 permette ai malintenzionati di scaricare dati, caricare file e impartire comandi su pc infettati. Questo sistem...
La Red Hot Cyber Conference è ormai un appuntamento fisso per la community di Red Hot Cyber e per tutti coloro che operano o nutrono interesse verso il mondo delle tecnologie digitali e della sicurez...
Il rilascio di Hexstrike-AI segna un punto di svolta nel panorama della sicurezza informatica. Il framework, presentato come uno strumento di nuova generazione per red team e ricercatori, è in grado ...
Il gruppo di hacker LunaLock ha aggiunto un nuovo elemento al classico schema di estorsione, facendo leva sui timori di artisti e clienti. Il 30 agosto, sul sito web Artists&Clients, che mette in ...
LockBit rappresenta una delle più longeve e strutturate ransomware gang degli ultimi anni, con un modello Ransomware-as-a-Service (RaaS)che ha segnato in maniera profonda l’ecosistema criminale. A ...