俄罗斯APT28黑客通过Microsoft Outlook宏部署NotDoor后门，使用OneDrive侧载窃取数据并逃避检测。

APT28是一个由俄罗斯政府支持的黑客组织，长期以来一直与针对北约国家的间谍活动有关。该组织被发现在Microsoft Outlook中使用了一种新的伎俩。S2 Grupo旗下威胁情报团队Lab52的研究人员发现了一个名为NotDoor的自定义后门，该后门会通过Outlook的电子邮件客户端运行，窃取数据并让攻击者获得远程控制权。

NotDoor在Outlook内部以Visual Basic for Applications(VBA)宏的形式运行。它的工作原理是监控收到的电子邮件，查找特殊的触发短语，例如“每日报告”，从而激活其隐藏的功能。一旦触发，该恶意软件就会发送被盗文件，将新文件上传到受害者的计算机上，并执行命令，所有这些都会隐藏在正常的邮件流量中。

NotDoor入侵系统的方式同样令人担忧。据Lab52称，APT28（又名Fancy Bear、Sofacy、STRONTIUM（微软代号）、Sednit和Pawn Storm）通过滥用微软签名OneDrive.exe文件来部署NotDoor，而该文件易受DLL侧加载技术攻击。

攻击者加载一个名为SSPICLI.dll的恶意DLL，该DLL会禁用Outlook的宏安全功能并安装后门。之后，恶意软件会使用编码的PowerShell命令将自身复制到Outlook的宏项目文件夹中，通过对的DNS查询验证感染是否成功webhook.site，并通过修改Windows注册表建立持久性。

NotDoor一旦安装到位，就难以被检测到。该VBA项目经过混淆处理，变量名被打乱，字符串编码方法将其代码伪装成随机的Base64编码。它窃取的所有文件都会被加密，通过Outlook发送出去，然后从受害者的电脑中删除。该恶意软件甚至会删除激活它的触发邮件，几乎不给防御者留下任何痕迹。

Lab52的报告发现，NotDoor支持四个主要命令。攻击者可以执行带或不带返回输出的系统命令、窃取文件或上传新的​​有效载荷。结果会被打包成看似合法的电子邮件回复，使用诸如“Re: 0”或“Re: ”之类的主题。被盗文件会被伪装成“报告”或“发票”等常见名称，并带有诸如.pdf,.docx、或.jpg之类的扩展名，使其融入预期的工作数据中。

Sectigo高级研究员Jason Soroko表示，此次活动证明了为什么安全团队不能仅仅依赖周边工具。

APT28正在通过名为NotDoor的VBA宏后门将Outlook滥用为隐蔽通道。攻击者利用SSPICLI.dll签名的DLL侧载OneDrive.exe来禁用宏保护并执行阶段性命令。该宏会监视入站邮件中的触发词，并窃取数据、上传文件和运行命令。这会与受信任的二进制文件和正常邮件流混合，从而绕过边界工具和基本检测。Soroko表示。

他建议立即采取防御措施，包括禁用Outlook VBA并通过组策略阻止Internet宏。他还建议启用Microsoft Defender攻击面减少规则，以防止Office应用启动子进程，并使用Windows Defender应用程序控制(WDAC)或AppLocker限制DLL加载。

在监控方面，团队应该寻找使用编码命令的OneDrive生成​​的PowerShell，并对异常的DNS查找或出站流量发出警报webhook.site。