کمیته رکن چهارم– گروه هکری APT28، که به دولت روسیه منتسب است، بهتازگی از بدافزار جدیدی به نام NotDoor برای حمله به شرکتهای مستقر در کشورهای عضو ناتو استفاده کرده است. این بدافزار با تمرکز بر برنامه Outlook طراحی شده و قابلیتهای گستردهای برای جمعآوری و ارسال اطلاعات دارد.
به گزارش کمیته رکن چهارم، NotDoor بهصورت یک ماکرو VBA در Outlook عمل میکند و با بررسی ایمیلهای دریافتی بهدنبال کلمات رمز مشخصی میگردد. در صورت شناسایی این عبارات، دستوراتی برای استخراج اطلاعات، آپلود فایل یا اجرای فرمان در سیستم قربانی اجرا میشود. فایلهای استخراجشده بهصورت رمزگذاریشده و از طریق ایمیل به سرورهای مهاجمان ارسال میگردند.
مسیر اولیه نفوذ هنوز بهطور کامل مشخص نشده، اما شواهد نشان میدهد بدافزار از طریق فایل اجرایی onedrive.exe و تکنیک DLL Side-Loading روی سیستم نصب میشود. در این فرآیند، یک فایل DLL مخرب باعث نصب ماکرو، غیرفعالسازی تنظیمات امنیتی، اجرای دستورات رمزگذاریشده PowerShell و ایجاد تغییر در رجیستری برای ماندگاری بدافزار میشود.
ماکرو NotDoor با باز شدن Outlook یا دریافت ایمیل جدید فعال شده و دادههای موقت را در پوشهای خاص ذخیره میکند. این بدافزار چهار دستور کلیدی برای اجرای عملیات جاسوسی دارد و پس از انجام هر عملیات، دادهها را حذف میکند تا ردی از خود بر جای نگذارد.
همزمان با افشای این حملات، گزارشهایی از تاکتیکهای مشابه توسط گروههای دیگر نیز منتشر شده که از سرویسهای قانونی مانند Telegraph و Microsoft Dev Tunnels برای استتار فعالیت خود استفاده میکنند. این نشانهای از پیشرفتهتر شدن حملات سایبری و بهرهبرداری از ابزارهای روزمره برای نفوذ به شبکههای حساس است.
کارشناسان امنیتی هشدار دادهاند که سازمانها باید نظارت دقیقتری بر فعالیتهای Outlook، استفاده از ماکروها، و اجرای PowerShell اعمال کنند تا از چنین حملاتی جلوگیری شود.
