APT28, el grupo de hackers ruso respaldado por el estado y vinculado desde hace tiempo a campañas de espionaje contra países de la OTAN, ha sido descubierto usando un nuevo truco dentro de Microsoft Outlook.
Investigadores de Lab52, el equipo de inteligencia de amenazas de S2 Grupo, revelaron una backdoor personalizada llamada NotDoor que se ejecuta a través del cliente de correo electrónico de Outlook para robar datos y dar control remoto a los atacantes.
NotDoor funciona dentro de Outlook como una macro de Visual Basic para Aplicaciones (VBA). Funciona monitorizando los correos electrónicos entrantes en busca de una frase de activación especial, como «Informe diario», que activa sus funciones ocultas. Una vez activado, el malware puede enviar archivos robados, cargar nuevos en el equipo de la víctima y ejecutar comandos, todo ello mimetizándose con el flujo normal de correo electrónico.
A continuación, compartimos IoC para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
PT28 (también conocido como Fancy Bear, Sofacy, STRONTIUM —la designación de Microsoft—, Sednit y Pawn Storm) lo despliega abusando del archivo firmado OneDrive.exe de Microsoft, el cual es vulnerable a una técnica de carga lateral de DLL (DLL sideloading).
Los atacantes cargan una DLL maliciosa llamada SSPICLI.dll, que desactiva la seguridad de macros de Microsoft Outlook e instala la backdoor. A partir de ahí, el malware utiliza comandos de PowerShell codificados para copiarse en la carpeta de proyectos de macros de Outlook, verificar la infección mediante consultas DNS hacia webhook.site, y establecer persistencia mediante modificaciones en el Windows Registry.Una vez instalado, NotDoor está diseñado para ser difícil de detectar.
El proyecto Visual Basic for Applications (VBA) está ofuscado, con nombres de variables desordenados y un método de codificación de cadenas que disfraza su código como si fueran datos aleatorios en Base64. Los archivos robados se cifran, se envían a través de Outlook y luego se eliminan de la máquina de la víctima.
El malware incluso borra el correo electrónico de activación que lo desencadena, dejando muy pocos rastros para los equipos defensivos.
