Руска хакерска група атакува чрез нов зловреден софтуер за Outlook

В последните месеци специалисти по киберсигурност разкриха нова опасна кампания, свързана с руската държавно подкрепяна хакерска група APT28 (известна още като Fancy Bear). Тя използва нов зловреден инструмент, наречен NotDoor, който се възползва от Microsoft Outlook, за да краде информация и да позволява дистанционен контрол върху заразени компютри.

Как работи NotDoor?

NotDoor представлява макрос, написан на VBA (Visual Basic for Applications) и вграден в Outlook. Той следи входящите имейли за определена „тригър“ дума. Ако бъде засечена, зловредният код се активира и дава на нападателя възможност да:

• краде данни от компютъра на жертвата,
• качва файлове,
• изпълнява команди от разстояние.

Това прави Outlook своеобразен „канал“ за незабелязана комуникация и източване на информация.

Техниките на заразяване

Все още не е напълно ясно как вирусът достига до жертвите. Изследванията сочат, че NotDoor се стартира чрез Microsoft OneDrive с техника, наречена DLL side-loading. С нейна помощ вместо легитимна библиотека се зарежда зловреден файл SSPICLI.dll, който инсталира бекдора и изключва защитите срещу макроси.

След това вирусът изпълнява PowerShell команди, които:

• осигуряват постоянен достъп чрез промени в системния регистър,
• изключват предупредителни съобщения в Outlook,
• позволяват на макросите да работят без ограничения.

Какво прави вирусът след заразяване?

NotDoor се „закача“ за Outlook и се стартира всеки път, когато програмата бъде отворена или пристигне нов имейл. Той създава скрита папка в %TEMP%\Temp, където съхранява временни файлове, преди да ги изпрати към имейл адрес в Proton Mail.

Хакерите могат да управляват вируса чрез изпращане на съобщения с определени ключови думи, като например „Daily Report“. Това отключва следните команди:

• cmd – изпълнява команда и връща резултата като прикачен файл към имейл,
• cmdno – изпълнява команда без отговор,
• dwn – изпраща файлове от заразения компютър,
• upl – качва файлове на машината на жертвата.

По-широк контекст – нови методи за прикриване

Докато се разкриваше NotDoor, други проучвания показаха и активността на друга руска група – Gamaredon. Те използват по-иновативни подходи за скриване на своите сървъри за управление. Например:

• злоупотребяват с услугата Microsoft Dev Tunnels, която позволява на разработчиците да излагат тестови уеб услуги в интернет,
• използват Cloudflare Workers и Telegram Telegraph като посредници за комуникация.

Тези методи правят разследването много по-трудно – истинските IP адреси на сървърите се прикриват, а домейните могат да се сменят буквално всяка минута.

Какво означава това за обикновения потребител?

Макар атаките да са насочени предимно към организации и компании в държави от НАТО, подобни кампании показват колко уязвими могат да бъдат дори добре познати и често използвани приложения като Outlook.

За да се предпазите:

• Бъдете внимателни с прикачени файлове и макроси. Ако не очаквате документ, не го отваряйте.
• Обновявайте редовно софтуера си. Много вируси използват вече поправени уязвимости.
• Използвайте антивирусна програма и проверявайте подозрителни файлове.
• Следете за необичайно поведение на компютъра – бавене, странни имейли, нови процеси.