El grupo de hackers patrocinado por el estado ruso rastreado como APT 28 se ha atribuido a una nueva puerta trasera de Microsoft Outlook llamada No es una puerta en ataques contra múltiples empresas de diferentes sectores en los países miembros de la OTAN.
NotDoor «es una macro de VBA para Outlook diseñada para monitorear los correos electrónicos entrantes en busca de una palabra desencadenante específica», dijo el equipo de inteligencia de amenazas LAB52 de S2 Grupo dijo . «Cuando se detecta un correo electrónico de este tipo, permite a un atacante extraer datos, cargar archivos y ejecutar comandos en la computadora de la víctima».
El artefacto recibe su nombre del uso de la palabra «Nada» en el código fuente, agregó la empresa española de ciberseguridad. La actividad pone de relieve el abuso de Outlook como canal sigiloso de comunicación, exfiltración de datos y entrega de malware.
Actualmente no se conoce el vector exacto de acceso inicial utilizado para distribuir el malware, pero los análisis muestran que se implementa a través del ejecutable OneDrive de Microsoft (» onedrive.exe «) mediante una técnica denominada carga lateral de DLL.
Esto lleva a la ejecución de una DLL malintencionada (» SSPICLI.dll «), que a su vez instala la puerta trasera de VBA y desactiva las protecciones de seguridad de macros.
Concretamente, ejecuta comandos de PowerShell codificados en Base64 para realizar una serie de acciones que incluyen la señalización a un sitio de webhook [.] controlado por un atacante, la configuración de la persistencia mediante modificaciones en el registro, la habilitación de la ejecución de macros y la desactivación de los mensajes de diálogo relacionados con Outlook para evitar la detección.
NotDoor está diseñado como un proyecto confuso de Visual Basic para Aplicaciones (VBA) para Outlook que utiliza el Inicio de sesión de la aplicación. MAIP completado y Aplicación. NewMailex eventos para ejecutar la carga útil cada vez que se inicia Outlook o llega un nuevo correo electrónico.
A continuación, procede a crear una carpeta en la ruta %TEMP%\ Temp si no existe, utilizándola como carpeta provisional para almacenar los archivos TXT creados durante el transcurso de la operación y filtrarlos a una dirección de Proton Mail. También analiza los mensajes entrantes en busca de una cadena de activación, como «Informe diario», y extrae los comandos incrustados para ejecutarlos.
El malware admite cuatro comandos diferentes:
- cmd, para ejecutar comandos y devolver la salida estándar como un archivo adjunto de correo electrónico
- cmdno, para ejecutar comandos
- dwn, para extraer archivos de la computadora de la víctima enviándolos como archivos adjuntos de correo electrónico
- upl, para colocar archivos en el ordenador de la víctima
«Los archivos filtrados por el malware se guardan en la carpeta», dijo LAB52. «El contenido del archivo se codifica mediante el cifrado personalizado del malware, se envía por correo electrónico y luego se elimina del sistema».
La revelación se produce como detalló el 360 Threat Intelligence Center, con sede en Beijing Gamaredón Su oficio en evolución (también conocido como APT-C-53), destacando su uso de Telegraph, propiedad de Telegram, como una resolución sin salida para apuntar a la infraestructura de mando y control (C2).
Los ataques también destacan por el abuso de Microsoft Dev Tunnels (devtunnels.ms), un servicio que permite a los desarrolladores exponer de forma segura los servicios web locales a Internet con fines de prueba y depuración, como dominios C2 para mayor sigilo.
«Esta técnica ofrece una doble ventaja: en primer lugar, la IP original del servidor C2 está completamente enmascarada por los nodos de retransmisión de Microsoft, lo que bloquea los rastreos de inteligencia de amenazas basados en la reputación de la IP», dijo la empresa de ciberseguridad dijo .
«En segundo lugar, al aprovechar la capacidad del servicio para restablecer los nombres de dominio minuto a minuto, los atacantes pueden rotar rápidamente los nodos de la infraestructura y aprovechar las credenciales confiables y la escala de tráfico de los principales servicios en la nube para mantener una operación de amenazas continua con una exposición casi nula».
Las cadenas de ataque implican el uso de productos falsos Dominios de Cloudflare Workers para distribuir un script de Visual Basic como Pterol Link , que puede propagar la infección a otras máquinas al copiarse a sí misma en las unidades USB conectadas, así como descargar más
cargas útiles.
«Esta cadena de ataque demuestra un alto nivel de diseño especializado y emplea cuatro capas de ofuscación (persistencia del registro, compilación dinámica, enmascaramiento de rutas y abuso de servicios en la nube) para llevar a cabo una operación totalmente encubierta desde la implantación inicial hasta la exfiltración de datos», afirma 360 Threat Intelligence Center.