与臭名昭著的俄罗斯网络间谍组织 APT28 相关的复杂后门允许攻击者在受感染的计算机上泄露数据、上传文件和执行命令。

新的、复杂的后门针对 Microsoft Outlook，它允许威胁行为者窃取数据并控制受害者的计算机。

该恶意软件被称为“NotDoor”，归因于俄罗斯国家支持的网络威胁组织 APT28（也称为 Fancy Bear）。LAB52 公布了西班牙网络安全公司 S2 Grupo 的威胁情报部门的调查结果。

NotDoor 是一种用 Visual Basic for Applications （VBA） 编写的隐形恶意软件，VBA 是一种用于自动执行 Microsoft Office 应用程序中任务的脚本语言。

后门旨在监控受害者传入的电子邮件中是否存在特定的触发词，例如“每日报告”。当检测到包含触发器的电子邮件时，恶意软件就会激活，使攻击者能够执行恶意命令。

“NotDoor”这个名字是由研究人员创造的，因为在恶意软件的代码中使用了“Nothing”一词。

“NotDoor”恶意软件攻击 Outlook 用户

该恶意软件巧妙地滥用合法的 Outlook 功能来保持隐藏并保持持久性。S2 Grupo 表示，它使用事件驱动的 VBA 触发器，例如 Outlook 启动时运行，以及 在新电子邮件到达时激活。Application_MAPILogonCompleteApplication_NewMailEx

为了逃避安全软件的检测，NotDoor 采用了多种复杂的技术：

• 代码混淆：恶意软件的代码故意使用随机变量名称和自定义编码方法进行打乱，以使分析变得困难。
• DLL 侧加载：它使用合法的、签名的 Microsoft 二进制文件来加载恶意 DLL 文件。这种技术有助于恶意软件显示为受信任的进程。OneDrive.exe
• 注册表修改：为了持久化，NotDoor 更改了 Outlook 的注册表设置。它禁用有关宏的安全警告并抑制其他提示，使其能够静默运行而不提醒用户。

一旦激活，后门就会创建一个隐藏目录来存储临时文件，然后在删除之前将其泄露到攻击者控制的电子邮件地址 （）。恶意软件通过向 Webhook 站点发送回调来确认其成功执行。a.matti444@proton[.]me

APT28 是与俄罗斯总参谋部情报总局 （GRU） 有联系的知名威胁行为者。该组织活跃了十多年，对许多备受瞩目的网络攻击负责，包括 2016 年美国总统大选期间对民主党全国委员会 （DNC） 的破坏以及对世界反兴奋剂机构 （WADA） 的入侵。

这一新工具展示了该组织的不断发展及其开发绕过现代防御机制的新方法的能力。

据 S2 Grupo 称，NotDoor 恶意软件已被用于危害北约成员国各个行业的多家公司。

为了防御这种威胁，安全专家建议组织在其系统中默认禁用宏，密切监控 Outlook 中的任何异常活动，并检查可能被此类恶意软件利用的基于电子邮件的触发器。