El grupo de piratería patrocinado por el estado ruso rastreó como Apt28 se ha atribuido a una nueva puerta trasera de Microsoft Outlook llamada Nota en ataques dirigidos a múltiples compañías de diferentes sectores en los países miembros de la OTAN.
Notdoor «es una macro de VBA para Outlook diseñada para monitorear los correos electrónicos entrantes para una palabra de activación específica», Equipo de inteligencia de amenazas LAB de S2 Grupo dicho. «Cuando se detecta dicho correo electrónico, permite a un atacante exfiltrar datos, cargar archivos y ejecutar comandos en la computadora de la víctima».
El artefacto obtiene su nombre del uso de la palabra «nada» dentro del código fuente, agregó la compañía de seguridad cibernética española. La actividad destaca el abuso de la perspectiva como una comunicación sigilosa, exfiltración de datos y canal de entrega de malware.
Actualmente no se conoce el vector de acceso inicial exacto utilizado para entregar el malware, pero el análisis muestra que se implementa a través del ejecutable OneDrive de Microsoft («onedrive.exe») utilizando una técnica denominada carga lateral de DLL.
Esto lleva a la ejecución de una DLL maliciosa («sspicli.dll»), que luego instala la puerta trasera VBA y deshabilita las protecciones de seguridad macro.
Específicamente, ejecuta los comandos de PowerShell codificados en Base64 para realizar una serie de acciones que implican baliza a un webhook controlado por el atacante[.]Sitio, Configuración de la persistencia a través de modificaciones del registro, habilitando la ejecución de macro y desactivar los mensajes de diálogo relacionados con las perspectivas para evadir la detección.
Notdoor está diseñado como un proyecto de Visual Basic para aplicaciones (VBA) de Outlook que hace uso de Application.mapilogonComplete y Aplicación.newmailex Eventos para ejecutar la carga útil cada vez que se inicia Outlook o llega un nuevo correo electrónico.
Luego procede a crear una carpeta en la ruta %temp %\ temp si no existe, utilizándola como una carpeta de puesta en escena para almacenar archivos TXT creados durante el curso de la operación y exfiltrarlos a una dirección de correo de protones. También analiza los mensajes entrantes para una cadena de activación, como «informe diario», lo que hace que extraiga los comandos incrustados que se ejecutarán.
El malware admite cuatro comandos diferentes –
- CMD, para ejecutar comandos y devolver la salida estándar como un archivo adjunto de correo electrónico
- cmdno, para ejecutar comandos
- dwn, para exfiltrar archivos de la computadora de la víctima enviándolos como archivos adjuntos de correo electrónico
- UPL, para soltar archivos a la computadora de la víctima
«Los archivos exfiltrados por el malware se guardan en la carpeta», dijo Lab52. «El contenido del archivo se codifica utilizando el cifrado personalizado del malware, se envía por correo electrónico y luego se elimina del sistema».
La divulgación se produce como detallado el Centro de Inteligencia de Amenazas del 360 con sede en Beijing Gamaredón'S (también conocido como APT-C-53) en evolución de la artesanía, destacando su uso de Telegraph propiedad de telegramas como un resolución muerto para apuntar a la infraestructura de comando y control (C2).
Los ataques también son notables por el abuso de Microsoft Dev Tunnels (DevTunnels.Ms), un servicio que permite a los desarrolladores exponer de forma segura los servicios web locales a Internet para fines de prueba y depuración, como dominios C2 para mayor sigiloso.
«Esta técnica proporciona dos ventajas: primero, la IP del servidor C2 original está completamente enmascarada por los nodos de retransmisión de Microsoft, bloqueando los trazas de inteligencia de amenazas basadas en la reputación de IP», la compañía de seguridad cibernética dicho.
«En segundo lugar, al explotar la capacidad del Servicio para restablecer los nombres de dominio de manera minuciosa a minuto, los atacantes pueden rotar rápidamente los nodos de infraestructura, aprovechando las credenciales de confianza y la escala de tráfico de los servicios en la nube convencionales para mantener una operación de amenaza continua de exposición casi cero».
Las cadenas de ataque implican el uso de falsos Dominios de trabajadores de Cloudflare Para distribuir un script de Visual Basic como Pterolnkque puede propagar la infección a otras máquinas copiando a sí misma a unidades USB conectadas, así como descargar adicionales
cargas útiles.
«Esta cadena de ataque demuestra un alto nivel de diseño especializado, que emplea cuatro capas de ofuscación (persistencia del registro, compilación dinámica, disfrazamiento de la ruta, abuso del servicio en la nube) para llevar a cabo una operación completamente encubierta desde la implantación inicial hasta la exfiltración de datos», dijo el Centro de Inteligencia de Amenazos 360.
Fuente