Руска хакерска група атакува чрез нов зловреден софтуер за Outlook

В последните месеци специалисти по киберсигурност разкриха нова опасна кампания, свързана с руската държавно подкрепяна хакерска група APT28 (известна още като Fancy Bear). Тя използва нов зловреден инструмент, наречен NotDoor, който се възползва от Microsoft Outlook, за да краде информация и да позволява дистанционен контрол върху заразени компютри.

Как работи NotDoor?

NotDoor представлява макрос, написан на VBA (Visual Basic for Applications) и вграден в Outlook. Той следи входящите имейли за определена „тригър“ дума. Ако бъде засечена, зловредният код се активира и дава на нападателя възможност да:

  • краде данни от компютъра на жертвата,
  • качва файлове,
  • изпълнява команди от разстояние.

Това прави Outlook своеобразен „канал“ за незабелязана комуникация и източване на информация.

Техниките на заразяване

Все още не е напълно ясно как вирусът достига до жертвите. Изследванията сочат, че NotDoor се стартира чрез Microsoft OneDrive с техника, наречена DLL side-loading. С нейна помощ вместо легитимна библиотека се зарежда зловреден файл SSPICLI.dll, който инсталира бекдора и изключва защитите срещу макроси.

След това вирусът изпълнява PowerShell команди, които:

  • осигуряват постоянен достъп чрез промени в системния регистър,
  • изключват предупредителни съобщения в Outlook,
  • позволяват на макросите да работят без ограничения.

Какво прави вирусът след заразяване?

NotDoor се „закача“ за Outlook и се стартира всеки път, когато програмата бъде отворена или пристигне нов имейл. Той създава скрита папка в %TEMP%\Temp, където съхранява временни файлове, преди да ги изпрати към имейл адрес в Proton Mail.

Хакерите могат да управляват вируса чрез изпращане на съобщения с определени ключови думи, като например „Daily Report“. Това отключва следните команди:

  • cmd – изпълнява команда и връща резултата като прикачен файл към имейл,
  • cmdno – изпълнява команда без отговор,
  • dwn – изпраща файлове от заразения компютър,
  • upl – качва файлове на машината на жертвата.

По-широк контекст – нови методи за прикриване

Докато се разкриваше NotDoor, други проучвания показаха и активността на друга руска група – Gamaredon. Те използват по-иновативни подходи за скриване на своите сървъри за управление. Например:

  • злоупотребяват с услугата Microsoft Dev Tunnels, която позволява на разработчиците да излагат тестови уеб услуги в интернет,
  • използват Cloudflare Workers и Telegram Telegraph като посредници за комуникация.

Тези методи правят разследването много по-трудно – истинските IP адреси на сървърите се прикриват, а домейните могат да се сменят буквално всяка минута.

Какво означава това за обикновения потребител?

Макар атаките да са насочени предимно към организации и компании в държави от НАТО, подобни кампании показват колко уязвими могат да бъдат дори добре познати и често използвани приложения като Outlook.

За да се предпазите:

  • Бъдете внимателни с прикачени файлове и макроси. Ако не очаквате документ, не го отваряйте.
  • Обновявайте редовно софтуера си. Много вируси използват вече поправени уязвимости.
  • Използвайте антивирусна програма и проверявайте подозрителни файлове.
  • Следете за необичайно поведение на компютъра – бавене, странни имейли, нови процеси.

Тагове:

#Microsoft 365 | #Windows | #Корпоративна Сигурност | #Кражба На Данни |

Последни Публикации

1
ферма със sim карти

Европол разби сложна мрежа за киберизмами със SIM ферми

На 10 октомври 2025 г. Европол, европейската полицейска агенция, обяви, че е разбила сложна платформа за киберпрестъпления, известна като "киберпрестъпност като услуга" (Cybercrime-as-a-Service, CaaS). Тази платформа е използвала т.нар. SIM ферма – система от устройства, които управляват голям брой ...
2
лого на Windows, изобразено като щит

Microsoft поправя 183 уязвимости: Три вече се използват от хакери

На 14 октомври 2025 г. Microsoft публикува корекции за рекордните 183 уязвимости в сигурността на своите продукти. Сред тях има три уязвимости, които вече се използват активно от хакери. В същото време компанията официално прекрати поддръжката на операционната система Windows 10, освен за компютри, ...
3
хакер поема контрола над RTU устройство и управлява електрическата мрежа

Сериозни уязвимости в устройства на Red Lion: Заплаха за промишлените системи

Изследователи в областта на киберсигурността разкриха два сериозни проблема в сигурността на продуктите на Red Lion Sixnet, наречени "дистанционни терминални устройства" (RTU), които се използват в промишлени системи. Ако тези уязвимости бъдат използвани от злонамерени лица, те могат да позволят изп ...
4
отбор от супергерои се бори с кибер заплахите в интернет

Киберзаплахите на седмицата: нови атаки, обединени хакери и уязвимости в големи системи

Всяка седмица дигиталният свят ни напомня, че тишината не означава сигурност. Кибератаките често започват тихо – една незащитена уязвимост, забравена парола или незашифровано резервно копие. Когато алармата най-после се задейства, щетите вече са нанесени.Тази седмица ще разгледаме как нападателите п ...
5
Управител на корпорация е силно притеснен от кибер заплахите пред бизнеса

Дигиталните заплахи: Седмичен Бюлетин

Киберсветът в турбо режим: Заплахите стават все по-умни Живеем във време, в което удобството върви ръка за ръка с риска. Всяко умно устройство, всяка нова услуга в облака и всяка чат платформа, която ни улеснява, всъщност разширява "бойната линия", по която могат да ни атакуват хакерите. Вече не гов ...
6
експерт по киберсигурност внедрява изкуствен интелект

5 критични въпроса при внедряване на решения за сигурност с AI

В наши дни изкуственият интелект (AI) не е просто модерна дума, а двигател на бизнеса. Все повече компании използват AI и облачни технологии, за да обработват огромни обеми данни, да вземат по-добри решения и да създават нови продукти. С тази огромна сила обаче идва и голяма отговорност, особено ког ...