APT28 ruso implementa la puerta trasera «NotDoor» a través de Microsoft Outlook

Iniciado por AXCESS, Septiembre 05, 2025, 01:22:00 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Septiembre 05, 2025, 01:22:00 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

APT28, el grupo de hackers ruso respaldado por el estado y vinculado desde hace tiempo a campañas de espionaje contra países de la OTAN, ha sido descubierto usando un nuevo truco dentro de Microsoft Outlook. Investigadores de Lab52, el equipo de inteligencia de amenazas de S2 Grupo, revelaron una puerta trasera personalizada llamada NotDoor que se ejecuta a través del cliente de correo electrónico de Outlook para robar datos y dar control remoto a los atacantes.

NotDoor opera dentro de Outlook como una macro de Visual Basic para Aplicaciones (VBA). Funciona monitorizando los correos electrónicos entrantes en busca de una frase de activación especial, como "Informe diario", que activa sus funciones ocultas. Una vez activado, el malware puede enviar archivos robados, cargar nuevos archivos en el equipo de la víctima y ejecutar comandos, todo ello mimetizándose con el flujo normal de tráfico de correo electrónico.



La forma en que NotDoor se introduce en un sistema es igualmente preocupante. Según Lab52, APT28 (también conocido como Fancy Bear, Sofacy, STRONTIUM (nombre de Microsoft), Sednit y Pawn Storm) lo implementa abusando del archivo OneDrive.exe firmado por Microsoft, vulnerable a una técnica de carga lateral de DLL.

Los atacantes cargan una DLL maliciosa llamada SSPICLI.dll, que deshabilita la seguridad de macros de Outlook e instala la puerta trasera. Desde allí, el malware utiliza comandos codificados de PowerShell para copiarse en la carpeta del proyecto de macros de Outlook, verificar la infección exitosa con consultas DNS a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y establecer persistencia mediante modificaciones del registro de Windows.

Una vez instalado, NotDoor está diseñado para ser difícil de detectar. El proyecto VBA está ofuscado, con nombres de variables codificados y un método de codificación de cadenas que disfraza su código como Base64 aleatorio. Todos los archivos que roba se cifran, se envían a través de Outlook y luego se eliminan del equipo de la víctima. El malware incluso elimina el correo electrónico que lo activa, dejando pocos rastros que los defensores puedan detectar.

El informe de Lab52 reveló que NotDoor admite cuatro comandos principales. Los atacantes pueden ejecutar comandos del sistema con o sin retorno de salida, exfiltrar archivos o cargar nuevas cargas útiles. Los resultados se empaquetan en respuestas de correo electrónico que parecen legítimas, utilizando asuntos como "Re: 0" o "Re: .". Los archivos robados se disfrazan con nombres comunes como "informe" o "factura" y tienen extensiones como .pdf, .docx o .jpg, lo que permite que se mezclen con los datos esperados del lugar de trabajo.

Jason Soroko, investigador sénior de Sectigo, afirma que la campaña demuestra por qué los equipos de seguridad no pueden confiar únicamente en las herramientas perimetrales.

APT28 está abusando de Outlook como canal encubierto a través de una macro de puerta trasera de VBA llamada NotDoor. La entrega utiliza la instalación local de una DLL de un archivo SSPICLI.dll malicioso mediante el archivo OneDrive.exe firmado para deshabilitar las protecciones de la macro y los comandos de prueba. La macro supervisa el correo entrante en busca de una palabra clave y puede exfiltrar datos, cargar archivos y ejecutar comandos. Esto se combina con binarios confiables y el flujo de correo normal, y puede eludir las herramientas perimetrales y las detecciones básicas, afirmó Soroko.

Recomienda medidas defensivas inmediatas, como deshabilitar Outlook VBA y bloquear las macros de internet mediante la directiva de grupo. También aconseja habilitar las reglas de reducción de superficie de ataque de Microsoft Defender, que impiden que las aplicaciones de Office inicien procesos secundarios, y usar el Control de aplicaciones de Windows Defender (WDAC) o AppLocker para restringir la carga de DLL.

En cuanto a la monitorización, los equipos deben detectar PowerShell generado por OneDrive con comandos codificados y alertar sobre búsquedas de DNS inusuales o tráfico saliente a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario