El grupo de piratería patrocinado por el estado ruso rastreado como APT28 se atribuye a un nuevo Backdoor de Microsoft Outlook llamado Notdoor, un ataque dirigido a múltiples compañías en varios sectores de los países miembros de la OTAN.
Según el equipo de inteligencia de amenazas LAB52 de S2 Grupo, Notdoor es una macro VBA de Outlook diseñada para monitorear correos electrónicos entrantes con palabras de activación específicas. «Si se detecta dicho correo electrónico, el atacante puede eliminar los datos, cargar el archivo y ejecutar el comando en la computadora de la víctima».
Artifact recupera el nombre del uso de la palabra «nada» en el código fuente, agregó la compañía de seguridad cibernética española. Esta actividad destaca la comunicación sigilosa, la eliminación de datos y el abuso de las perspectivas como un canal de entrega de malware.
Actualmente se desconoce el vector de acceso inicial exacto utilizado para entregar malware, pero el análisis muestra que se está implementando a través del ejecutable OneDrive de Microsoft («OneDrive.exe») utilizando una técnica llamada DLL Sideload.
Esto lleva a la ejecución de una DLL maliciosa («sspicli.dll»), instalando una puerta trasera de VBA y deshabilitando la protección de seguridad macro.
Específicamente, ejecuta un comando PowerShell codificado Base64 para realizar una serie de acciones que incluyen balizas en un sitio webhook (.) Controlado por el atacante, estableciendo persistencia a través de cambios de registro, la posibilidad de ejecución de macro y transmitir mensajes de diálogo relacionados con la exposición.
Notdoor está diseñado como un proyecto de Visual Basic (VBA) para observaciones de Outlook utilizando la aplicación. MapilogonComplete y Application.newmailEx Events.
Luego, si no existe, cree una carpeta con Rath %Temp %\ Temp, guarde el archivo TXT creado durante la operación y úselo como una carpeta de puesta en escena para extenderla a su dirección de correo electrónico de Proton. También analiza mensajes entrantes con cadenas de activación como «informe diario», extrae y ejecuta comandos integrados.
El malware admite 4 comandos diferentes –
CMD, para ejecutar el comando para devolver la salida estándar como archivo adjunto de correo electrónico cmdNo, para ejecutar el comando, envíelo como un archivo adjunto de correo electrónico UPL y suelte el archivo en la computadora de la víctima para extorgar el archivo desde la computadora de la víctima
«Los archivos excluidos por el malware se almacenan en carpetas», dijo Lab52. «El contenido del archivo se codificará utilizando el cifrado de malware personalizado, se enviará por correo electrónico y se eliminará del sistema».
Esta divulgación resalta el uso de telégrafos propiedad de telegrama como un comercio en evolución del Gammerderson detallado (también conocido como APT-C-53) del Centro de Inteligencia de Amenazas 360 basado en Beijing como una resolución de caída muerta que apunta a la infraestructura de comando y control (C2).
El ataque también es notable por el abuso de Microsoft Dev Tunnels (DevTunnels.Ms), un servicio que permite a los desarrolladores publicar de forma segura los servicios web locales a Internet para fines de prueba y depuración, como un dominio C2 para que los desarrolladores agregen sigilo.
«Esta técnica ofrece dos ventajas. Primero, la IP del servidor C2 original está totalmente enmascarada por los nodos de retransmisión de Microsoft, bloqueando las crías inteligentes de amenazas basadas en la reputación de IP», dijo la compañía de seguridad cibernética.
En segundo lugar, los atacantes pueden rotar rápidamente los nodos de infraestructura y aprovechar las credenciales de confianza y la escala de tráfico de los servicios de nube convencionales para rotar rápidamente los nodos de infraestructura para mantener las operaciones de amenazas continuas de positor de borde de cero.
La cadena de ataque implica el uso de dominios falsos de trabajadores de CloudFlare y ofrece scripts Visual Basic como Pterolnk. Esto le permite transmitir infección a otras máquinas copiándola a una unidad USB conectada y agregar descargas adicionales.
carga útil.
«Esta cadena de ataque demuestra un alto nivel de diseño especializado, utilizando ofuscación de cuatro capas (persistencia del registro, compilación dinámica, mascarada y abuso de servicios en la nube) para realizar operaciones completamente ocultas desde la portada inicial hasta la eliminación de datos», dijo el Centro de Inteligencia de Amenazas 360.
Source link
