El especie de piratería patrocinado por el estado ruso rastreado como APT28 se ha atribuido a un nuevo Backdoor de Microsoft Outlook llamado Nota en ataques dirigidos a múltiples compañías de diferentes sectores en los países miembros de la OTAN.
Notdoor «es una macro de VBA para Outlook diseñada para monitorear los correos electrónicos entrantes para una palabra de activación específica», dijo el equipo de inteligencia de amenazas LAB de S2 Conjunto. «Cuando se detecta dicho correo electrónico, permite a un atacante exfiltrar datos, cargar archivos y ejecutar comandos en la computadora de la víctima».
El artefacto obtiene su nombre del uso de la palabra «falta» adentro del código fuente, agregó la compañía de seguridad cibernética española. La actividad destaca el extralimitación de la perspectiva como una comunicación sigilosa, exfiltración de datos y canal de entrega de malware.
Actualmente no se conoce el vector de ataque auténtico exacto utilizado para entregar el malware, pero el estudio muestra que se implementa a través del ejecutable OneDrive de Microsoft («onedrive.exe») utilizando una técnica denominada carga vecino de DLL.
Esto lleva a la ejecución de una DLL maliciosa («sspicli.dll»), que luego instala la puerta trasera VBA y deshabilita las protecciones de seguridad macro.
Específicamente, ejecuta los comandos de PowerShell codificados con Base64 para realizar una serie de acciones que implican la baliza de un sitio webhook (.) Controlado (.) Configuración de la persistencia a través de modificaciones del registro, permitiendo la ejecución de macro y desactivar los mensajes de diálogos relacionados con las perspectivas para escamotear la detección.
Notdoor está diseñado como un plan Visual Basic para Aplicaciones (VBA) de Outlook que hace uso de la aplicación. MAPILOGONCOMPLETE y Aplicación. Eventos de NewmailEx para ejecutar la carga útil cada vez que se inicia Outlook o que llega un nuevo correo electrónico.
Luego procede a crear una carpeta en la ruta %temp % temp si no existe, utilizándola como una carpeta de puesta en espectáculo para juntar archivos TXT creados durante el curso de la operación y exfiltrarlos a una dirección de correo de protones. Asimismo analiza los mensajes entrantes para una condena de activación, como «crónica diario», lo que hace que extraiga los comandos incrustados que se ejecutarán.
El malware admite cuatro comandos diferentes –
- CMD, para ejecutar comandos y devolver la salida estereotipado como un archivo adjunto de correo electrónico
- cmdno, para ejecutar comandos
- dwn, para exfiltrar archivos de la computadora de la víctima enviándolos como archivos adjuntos de correo electrónico
- UPL, para soltar archivos a la computadora de la víctima
«Los archivos exfiltrados por el malware se guardan en la carpeta», dijo Lab52. «El contenido del archivo se codifica utilizando el oculto personalizado del malware, se envía por correo electrónico y luego se elimina del sistema».
La divulgación se produce cuando el Centro de Inteligencia de Amenazos Basado en Beijing detalló la Tradecraft en crecimiento de Gamaredon (todavía conocida como APT-C-53), destacando su uso de telégrafo propiedad de telegrama como un resolutor de gotas muertas para señalar la infraestructura de comando y control (C2).
Los ataques todavía son notables por el extralimitación de Microsoft Dev Tunnels (DevTunnels.Ms), un servicio que permite a los desarrolladores exponer de forma segura los servicios web locales a Internet para fines de prueba y depuración, como dominios C2 para viejo sigiloso.
«Esta técnica proporciona dos ventajas: primero, la IP del servidor C2 flamante está completamente enmascarada por los nodos de retransmisión de Microsoft, bloqueando los trazas de inteligencia de amenazas basadas en la reputación de IP», dijo la compañía de seguridad cibernética.
«En segundo ocasión, al explotar la capacidad del Servicio para restablecer los nombres de dominio de guisa minuciosa a minuto, los atacantes pueden rotar rápidamente los nodos de infraestructura, aprovechando las credenciales de confianza y la escalera de tráfico de los servicios en la cúmulo convencionales para amparar una operación de amenaza continua de exposición casi cero».
Las cadenas de ataque implican el uso de dominios falsos de trabajadores de Cloudflare para distribuir un script de Visual Basic como Pterolnk, que puede propagar la infección a otras máquinas copiando a sí mismo a unidades USB conectadas, así como descargar adicional.
cargas avíos.
«Esta condena de ataque demuestra un suspensión nivel de diseño especializado, que emplea cuatro capas de ofuscación (persistencia del registro, compilación dinámica, disfrazamiento de la ruta, extralimitación del servicio en la cúmulo) para soportar a promontorio una operación completamente fraude desde la implantación auténtico hasta la exfiltración de datos», dijo el Centro de Inteligencia de Amenazos 360.
