俄罗斯APT28组织通过微软Outlook部署"NotDoor"后门程序
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
俄罗斯黑客组织APT28利用名为NotDoor的后门程序,通过Outlook的VBA宏窃取数据。该程序监控特定邮件触发词,执行命令并隐蔽发送窃取文件。安全专家建议禁用Outlook VBA宏并加强监控以防范此类攻击。
🎯
关键要点
- APT28利用名为NotDoor的后门程序通过Outlook实施新型攻击。
- NotDoor以VBA宏形式在Outlook内部运行,监控特定触发短语以激活隐藏功能。
- 攻击者通过滥用微软签名的OneDrive.exe文件实施DLL侧加载攻击。
- NotDoor的VBA项目经过混淆处理,难以被检测,窃取的文件经过加密后发送。
- NotDoor支持执行系统命令、外泄文件和上传新载荷等功能,伪装成正常邮件。
- 安全专家建议禁用Outlook VBA宏,启用Microsoft Defender攻击面缩减规则,并监控异常DNS查询。
❓
延伸问答
APT28组织是如何利用NotDoor后门程序进行攻击的?
APT28通过Outlook的VBA宏形式运行NotDoor,监控特定邮件触发词以激活隐藏功能,窃取数据并执行命令。
NotDoor后门程序的主要功能是什么?
NotDoor支持执行系统命令、外泄文件和上传新载荷等功能,伪装成正常邮件进行操作。
APT28是如何绕过安全防护的?
APT28利用已签名的OneDrive.exe文件实施DLL侧加载,禁用宏保护并通过混淆技术隐藏恶意代码,绕过边界防护工具。
安全专家对防范NotDoor攻击有什么建议?
安全专家建议禁用Outlook VBA宏,启用Microsoft Defender攻击面缩减规则,并监控异常DNS查询。
NotDoor后门程序如何处理窃取的文件?
NotDoor将窃取的文件加密后通过Outlook发送,并从受害者设备中删除,几乎不留痕迹。
APT28的攻击目标主要是什么?
APT28主要针对北约国家进行网络间谍活动,利用NotDoor后门程序进行数据窃取。
➡️
