スペインのサイバーセキュリティプロバイダーS2 Grupoの研究者は、攻撃者がデータの窃取、ファイルのアップロード、被害者のコンピュータ上でコマンドの実行を可能にする新しいOutlookバックドアを観測しました。
S2 Grupoの脅威インテリジェンスラボLAB52は、9月3日に公開されたレポートでその調査結果を共有しました。
脅威アナリストは、このバックドアのコード内に「Nothing」という単語が使われていることから、「NotDoor」と名付けました。彼らはこれをロシア支援のサイバー脅威グループAPT28によるものとしています。
NotDoor:高度なVBAベースのOutlookマルウェア
NotDoorバックドアは、Microsoft Outlookを標的とした高度なVisual Basic for Applications(VBA)ベースのマルウェアで、特定のトリガーワードを含む受信メールを監視し、悪意のあるコマンドを実行するよう設計されています。
VBAは、Excel、Word、OutlookなどのOfficeアプリケーションでタスクを自動化するために使用されるMicrosoftの組み込みスクリプト言語です。正規のユーザーは生産性向上のためにVBAを利用しますが、攻撃者はマクロ内に悪意のあるコードを埋め込み、文書やメールが開かれた際に実行させます。
NotDoorは、Outlookのイベント駆動型VBAトリガー、例えばApplication_MAPILogonComplete(起動時)やApplication_NewMailEx(新規メール受信時)などを悪用してペイロードを起動します。
マルウェアのコードは難読化されており、変数名のランダム化や、Base64データに不要な文字を付加するカスタム文字列エンコーディング技術を用いて暗号化を模倣し、解析を妨げます。
正規のOutlookマクロ内に偽装されたNotDoorは、攻撃者にデータの窃取、ファイルのアップロード、任意コマンドの実行を許します。
特筆すべきは、マルウェアが署名付きMicrosoftバイナリ(OneDrive.exe)を利用したDLLサイドローディングを活用し、悪意のあるDLL(SSPICLI.dll)を読み込んでバックドアを展開し、検知を回避する点です。
永続性は、Outlookのレジストリ設定を変更してセキュリティ警告を無効化し、起動時にマクロを有効化、ダイアログプロンプトを抑制することで実現され、サイレントな動作を保証します。
バックドアは、被害者のデータを攻撃者が管理するメールアドレス(a.matti444@proton[.]me)に送信し、webhook.siteへのDNSおよびHTTPコールバックで実行状況を確認することで、隠密な通信を確立します。
感染すると、アーティファクトを保存するための隠しディレクトリ(%TEMP%\Temp)を作成し、それらは自動的に攻撃者へメール送信され、削除されます。
あらかじめ定義された文字列(例:「Daily Report」)を含むメールによってトリガーされると、NotDoorはメッセージ本文に埋め込まれた暗号化コマンドを解析し、ファイル窃取、コマンド実行、追加ペイロードのダウンロードなど、1通のメールで複数の指示に対応します。
マルウェアのモジュール設計により、攻撃者はトリガーやコマンドを動的に更新できるため、検知や対策が困難です。
OutlookのネイティブなVBA機能を悪用することで、マルウェアは持続性とステルス性を維持し、スパイ活動や標的型攻撃の強力なツールとなっています。
LAB52の研究者は、組織に対し、デフォルトでマクロを無効化し、異常なOutlookの動作を監視し、メールベースのトリガーを検査することを推奨しています。
APT28:進化し続ける脅威グループ
APT28は、破壊的な攻撃で悪名高いサイバー脅威グループです。また、Fancy Bear、Fighting Ursa、Forest Blizzard、Pawn Storm、Strontium、Sednit、Sofacy、Tsar Teamなど多くの別名でも知られています。
少なくとも2014年以降活動しており、APT28はロシア連邦軍参謀本部情報総局(GRU)第85本部特殊サービスセンター(GTsSS)第26165部隊に帰属するとされています。
2016年には、APT28がヒラリー・クリントン大統領選挙キャンペーン、民主党全国委員会(DNC)、民主党議会選挙委員会(DCCC)を侵害し、米大統領選挙への干渉キャンペーンの一環として活動したと報じられました。
2年後の2018年、米国司法省(DoJ)は、2014年から2018年にかけてサイバー侵入を主導したGRU第26165部隊の5人の将校を起訴しました。
彼らの標的には、世界アンチ・ドーピング機関(WADA)、米国アンチ・ドーピング機関、米国の原子力施設、化学兵器禁止機関(OPCW)、スイスのシュピーツ化学研究所などが含まれていました。
これらの作戦の一部は、Sandworm Teamとしても知られるGRU第74455部隊の支援を受けて実行されました。
LAB52の研究者によると、NotDoorは「APT28の継続的な進化を示しており、確立された防御機構を回避できる新たなアーティファクトを絶えず生み出していることを示しています。」
最近では、APT28は大規模言語モデル(LLM)を活用した初のマルウェアの1つであるLameHugを配信するキャンペーンにも関与していました。
当初は2025年7月にウクライナ国家コンピュータ緊急対応チーム(CERT-UA)により検知され、LameHugはMITREの研究者により「原始的」な将来のAI駆動型攻撃のテストベッドと評されました。
翻訳元: https://www.infosecurity-magazine.com/news/russia-apt28-notdoor-outlook/