Le groupe de hackers soutenu par l’État russe, connu sous le nom d’APT28, est désormais lié à une nouvelle porte dérobée dans Microsoft Outlook, baptisée NotDoor, qui cible plusieurs entreprises dans différents secteurs des pays membres de l’OTAN.
Selon l’équipe LAB52 de S2 Grupo, NotDoor “est une macro VBA pour Outlook conçue pour surveiller les e-mails entrants à la recherche d’un mot-clé spécifique.” Lorsqu’un tel e-mail est détecté, elle permet à un attaquant d’exfiltrer des données, de télécharger des fichiers et d’exécuter des commandes sur l’ordinateur de la victime.
Ce nom fait référence à l’utilisation du mot “Nothing” dans le code source, a précisé la société espagnole spécialisée en cybersécurité. Cette activité souligne l’exploitation d’Outlook comme un canal discret pour la communication, l’exfiltration de données et la livraison de malware.
Le vecteur d’accès initial utilisé pour livrer le malware est encore inconnu, mais les analyses montrent qu’il est déployé via l’exécutable OneDrive de Microsoft (“onedrive.exe”) en utilisant une technique appelée DLL side-loading.
Cette méthode conduit à l’exécution d’une DLL malveillante (“SSPICLI.dll”), qui installe ensuite la porte dérobée VBA et désactive les protections de sécurité des macros.
NotDoor exécute spécifiquement des commandes PowerShell encodées en Base64 pour effectuer une série d’actions comprenant un “beaconing” vers un webhook contrôlé par l’attaquant, la mise en place de persistance à travers des modifications du Registre, l’autorisation de l’exécution de macros et la désactivation des messages de dialogue Outlook pour éviter la détection.
Ce malware a été conçu comme un projet Visual Basic pour Applications (VBA) obscurci pour Outlook, utilisant les événements Application.MAPILogonComplete et Application.NewMailEx pour exécuter le payload chaque fois qu’Outlook est démarré ou qu’un nouvel e-mail arrive.
Il crée alors un dossier à l’emplacement %TEMP%\Temp s’il n’existe pas, servant de dossier intermédiaire pour stocker les fichiers TXT générés au cours de l’opération avant de les exfiltrer vers une adresse Proton Mail. Il analyse également les messages entrants à la recherche d’une chaîne déclencheur, comme “Daily Report”, ce qui lui permet d’extraire les commandes à exécuter.
Le malware prend en charge quatre commandes distinctes :
- cmd, pour exécuter des commandes et renvoyer la sortie standard en tant que pièce jointe d’e-mail
- cmdno, pour exécuter des commandes
- dwn, pour exfiltrer des fichiers de l’ordinateur de la victime en les envoyant en tant que pièces jointes
- upl, pour déposer des fichiers sur l’ordinateur de la victime
LAB52 mentionne que “les fichiers exfiltrés par le malware sont enregistrés dans le dossier.” Le contenu des fichiers est crypté à l’aide d’un chiffrement personnalisé du malware, envoyé par e-mail, puis supprimé du système.
Cette annonce fait suite à la révélation par le Centre de renseignements sur les menaces 360 basé à Pékin, qui a décrit les évolutions de l’artisanat de Gamaredon (également connu sous le nom d’APT-C-53), mettant en lumière son utilisation de Telegram pour désigner les infrastructures de commande et contrôle (C2).
Les attaques se distinguent également par l’abus des Microsoft Dev Tunnels (devtunnels.ms), un service permettant aux développeurs de rendre leurs services web locaux accessibles à Internet à des fins de test et de débogage, servant de domaines C2 pour un camouflage supplémentaire.
“Cette technique offre des avantages double : d’une part, l’IP du serveur C2 d’origine est complètement masquée par les nœuds de relais de Microsoft, bloquant les traçages d’intelligence de menace basés sur la réputation IP,” a expliqué la société de cybersécurité.
“D’autre part, en exploitant la capacité du service à réinitialiser les noms de domaine minute par minute, les attaquants peuvent faire tourner rapidement les nœuds d’infrastructure, tirant parti des credentials de confiance et du volume de trafic des services cloud mainstream pour maintenir une opération de menace d’une exposition quasi nulle.”
Les chaînes d’attaque comprennent l’utilisation de faux domaines Cloudflare Workers pour distribuer un script Visual Basic tel que PteroLNK, capable de propager l’infection à d’autres machines en se copiant sur des clés USB connectées, ainsi que de télécharger des payloads supplémentaires.
“Cette chaîne d’attaque démontre un niveau élevé de design spécialisé, employant quatre couches d’obscurcissement (persistance dans le registre, compilation dynamique, déguisement de chemin, abus de service cloud) pour mener à bien une opération totalement secrète depuis l’implantation initiale jusqu’à l’exfiltration de données,” a noté le Centre de renseignements sur les menaces 360.
Bon à savoir
- Les macro de VBA sont souvent utilisées dans les attaques pour leur capacité à automatiser des tâches dans des applications comme Outlook.
- Les attaques par ransomware et malware continuent d’évoluer, rendant nécessaire une vigilance accrue pour la sécurité informatique.
- Le phishing reste une méthode privilégiée pour inciter les victimes à ouvrir des e-mails malveillants.
En somme, cette situation souligne l’importance croissante de la cybersécurité dans un monde où les menaces évoluent constamment. Les entreprises doivent rester à l’affût des nouvelles techniques employées par les cybercriminels et investir dans des solutions de sécurité robustes pour se protéger efficacement. Quelles pratiques devrions-nous renforcer pour mieux anticiper ces attaques de demain ?