俄罗斯APT28组织通过微软Outlook部署"NotDoor"后门程序
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
俄罗斯黑客组织APT28利用名为NotDoor的后门程序,通过Outlook的VBA宏窃取数据。该程序监控特定邮件触发词,执行命令并隐蔽发送窃取文件。安全专家建议禁用Outlook VBA宏并加强监控以防范此类攻击。
🎯
关键要点
- APT28利用名为NotDoor的后门程序通过Outlook实施新型攻击。
- NotDoor以VBA宏形式在Outlook内部运行,监控特定触发短语以激活隐藏功能。
- 攻击者通过滥用微软签名的OneDrive.exe文件实施DLL侧加载攻击。
- NotDoor的VBA项目经过混淆处理,难以被检测,窃取的文件经过加密后发送。
- NotDoor支持执行系统命令、外泄文件和上传新载荷等功能,伪装成正常邮件。
- 安全专家建议禁用Outlook VBA宏,启用Microsoft Defender攻击面缩减规则,并监控异常DNS查询。
➡️
