2025年9月4日Ravie Lakshmananサイバーセキュリティ / マルウェア
ロシア政府が支援するハッキンググループAPT28が、NATO加盟国の複数企業を標的とした攻撃で新たなMicrosoft OutlookバックドアNotDoorを使用していることが判明しました。
NotDoorは「特定のトリガーワードを監視するために設計されたOutlook用のVBAマクロです」とS2 GrupoのLAB52脅威インテリジェンスチームが述べています。「そのようなメールが検出されると、攻撃者はデータの持ち出し、ファイルのアップロード、被害者のコンピュータ上でのコマンド実行が可能になります。」
このマルウェア名は、ソースコード内で「Nothing」という単語が使用されていることに由来すると、スペインのサイバーセキュリティ企業は付け加えています。この活動は、Outlookが秘匿性の高い通信、データ持ち出し、マルウェア配信チャネルとして悪用されていることを浮き彫りにしています。
マルウェアの配布に使われた正確な初期アクセス経路は現在不明ですが、分析によると、MicrosoftのOneDrive実行ファイル(「onedrive.exe」)を利用し、DLLサイドローディングと呼ばれる手法で展開されています。
これにより、悪意のあるDLL(「SSPICLI.dll」)が実行され、VBAバックドアがインストールされ、マクロのセキュリティ保護が無効化されます。
具体的には、Base64でエンコードされたPowerShellコマンドを実行し、攻撃者が制御するwebhook[.]siteへのビーコン送信、レジストリ変更による永続化の確立、マクロ実行の有効化、Outlook関連のダイアログメッセージの無効化による検知回避など、一連の動作を行います。
NotDoorは、Outlook用の難読化されたVisual Basic for Applications(VBA)プロジェクトとして設計されており、Application.MAPILogonCompleteおよびApplication.NewMailExイベントを利用して、Outlookの起動時や新しいメール受信時にペイロードを実行します。
その後、%TEMP%\Tempというパスにフォルダが存在しない場合は作成し、作戦中に生成されたTXTファイルを一時保存フォルダとして利用し、それらをProton Mailアドレスへ持ち出します。また、受信メッセージ内の「Daily Report」などのトリガ文字列を解析し、埋め込まれたコマンドを抽出して実行します。
このマルウェアは、4種類のコマンドをサポートしています。
- cmd:コマンドを実行し、標準出力をメール添付ファイルとして返す
- cmdno:コマンドを実行する
- dwn:被害者のコンピュータからファイルをメール添付で持ち出す
- upl:被害者のコンピュータにファイルをドロップする
「マルウェアによって持ち出されたファイルはこのフォルダに保存されます」とLAB52は述べています。「ファイル内容はマルウェア独自の暗号化でエンコードされ、メールで送信された後、システムから削除されます。」
この情報公開は、北京拠点の360 Threat Intelligence CenterがGamaredon(別名APT-C-53)の進化する手口を詳細に説明し、コマンド&コントロール(C2)インフラへのポインタとしてTelegram傘下のTelegraphをデッドドロップリゾルバとして利用していることを強調したタイミングで行われました。
これらの攻撃はまた、Microsoft Dev Tunnels(devtunnels.ms)の悪用でも注目されています。このサービスは、開発者がローカルWebサービスをインターネットに安全に公開しテストやデバッグを行うためのものですが、C2ドメインとして利用され、秘匿性が高まっています。
「この手法には2つの利点があります。第一に、元のC2サーバーのIPアドレスがMicrosoftのリレーノードによって完全に隠蔽され、IPレピュテーションに基づく脅威インテリジェンスの追跡を遮断します」とサイバーセキュリティ企業は述べています。
「第二に、このサービスのドメイン名を分単位でリセットできる機能を悪用することで、攻撃者はインフラノードを迅速にローテーションでき、主流クラウドサービスの信頼された認証情報とトラフィックスケールを活用して、ほぼ露出ゼロの継続的な脅威活動を維持できます。」
攻撃チェーンには、偽のCloudflare Workersドメインを利用してPteroLNKのようなVisual Basic Scriptを配布し、感染マシンが接続されたUSBドライブに自身をコピーして他のマシンへ感染を拡大したり、追加のペイロードをダウンロードしたりする手法が含まれています。
「この攻撃チェーンは、(レジストリ永続化、動的コンパイル、パス偽装、クラウドサービス悪用)という4層の難読化を駆使し、初期侵入からデータ持ち出しまで完全に秘匿された作戦を実行していることを示しています」と360 Threat Intelligence Centerは述べています。
翻訳元: https://thehackernews.com/2025/09/russian-apt28-deploys-notdoor-outlook.html