São Paulo — InkDesign News — A APT28, grupo de ameaças apoiado pelo Estado ligado aos serviços de inteligência da Rússia, está explorando uma nova vulnerabilidade no Microsoft Outlook através de um backdoor conhecido como “NotDoor”.
Vetor de ataque
O backdoor NotDoor foi identificado pela primeira vez por pesquisadores da Lab52, braço de inteligência de ameaças da empresa de cibersegurança espanhola S2 Grupo. Os atacantes utilizam um binário assinado e legítimo, o OneDrive.exe da Microsoft, que é suscetível a DLL sideloading para implantar o malware.
O ataque envolve o carregamento de um arquivo DLL malicioso, SSPICLI.dll, que desativa as defesas de segurança de macros e introduz um macro VBA no Outlook. O loader executa comandos PowerShell codificados em Base64.
Impacto e resposta
O backdoor permite que os criminosos cibernéticos monitorem emails recebidos para um determinado termo gatilho. “Se a string for encontrada, o malware analisa o conteúdo do email para extrair os comandos a serem executados”, indicam os pesquisadores. Além disso, uma vez ativado, o email que acionou o backdoor é excluído.
A APT28 ilustra sua evolução constante e como o grupo “continualmente gera novos artefatos capazes de contornar mecanismos de defesa estabelecidos”
(“APT28 illustrates its continued evolution and how the threat group continuously generates new artifacts capable of bypassing established defense mechanisms.”)— Lab52, Cybersecurity Researchers
Análise e recomendações
A análise revela que o NotDoor mantém acesso persistente ao sistema atingido, permitindo que os atacantes enviem emails carregados com gatilhos para iniciar a exfiltração de dados por meio de anexos ou o upload de arquivos maliciosos. As mitigitações incluem a desativação de macros automaticamente nas configurações do Outlook e a implementação de verificações adicionais de segurança para reduzir o risco de execução de códigos não autorizados.
Com a evolução dos métodos da APT28, as organizações precisam reforçar suas estratégias de defesa para enfrentar essa nova ameaça cibernética. A monitoração contínua e a atualização das práticas de segurança e software serão cruciais para mitigar riscos futuros.
Fonte: (Dark Reading – Segurança Cibernética)
