Source: https://www.darkreading.com/endpoint-security/apt28-outlook-notdoor-backdoor
🛡 概要
APT28はロシアの情報機関に関連する国家支援型脅威グループで、Microsoft Outlookを利用した新しいバックドア「NotDoor」を悪用しています。このマルウェアは、スペインのサイバーセキュリティ企業S2 Grupoの脅威インテリジェンス部門であるLab52によって初めて特定されました。NotDoorは、Outlookを使って隠密な通信やデータの窃取、マルウェアの配信を行う手段として機能します。
🔍 技術詳細
NotDoorは、正規の署名済みバイナリであるMicrosoftのOneDrive.exeを利用して展開されます。このバイナリはDLLサイドローディングに脆弱で、攻撃者は悪意のあるDLLファイル「SSPICLI.dll」を読み込むことで、マクロのセキュリティ防御を無効化し、VBAマクロをターゲットネットワークに配信します。Lab52によると、このバックドアは特定のトリガーワードを含むメールを受信した際に起動します。メールの内容を解析し、実行すべきコマンドを抽出します。さらに、このバックドアは、攻撃者がデータを窃取したり、マルウェアをアップロードしたりするために、トリガー付きのメールを送信することも可能です。
⚠ 影響
NotDoorは、APT28がターゲットシステムに持続的なアクセスを維持する手段を提供します。これにより、攻撃者はデータを窃取するだけでなく、さらなる攻撃を行うための基盤を築きます。このバックドアは、OutlookのVBAプロジェクトとして表示され、機能名をランダムなアルファベットの文字列に置き換えることで隠蔽性を高めています。Lab52は、NotDoorがAPT28の進化を示しており、既存の防御機構を回避する新しいアーティファクトを継続的に生成していると述べています。
🛠 対策
この脅威に対処するためには、企業はマクロの使用に関するポリシーを見直し、Outlookのセキュリティ設定を強化する必要があります。また、DLLサイドローディングの脆弱性を悪用されないよう、バイナリの監視を強化することも重要です。セキュリティパッチを適用し、定期的なセキュリティトレーニングを行い、従業員に対して疑わしいメールに注意を促すことも効果的です。APT28のような高度な脅威に対抗するためには、セキュリティインフラ全体の強化が不可欠です。
