Rob Wright, シニアニュースディレクター, Dark Reading
2025年9月3日
読了時間:2分
出典:SOPA Images Limited(Alamy Stock Photo経由)
ロシアの情報機関と関係する国家支援型の脅威グループAPT28は、研究者が「NotDoor」と呼ぶ新たなバックドアを使い、Microsoft Outlookを武器化しています。
このバックドアマルウェアは、スペインのサイバーセキュリティ企業S2 Grupoの脅威インテリジェンス部門Lab52の研究者によって初めて特定されました。Lab52は水曜日のブログ記事で、NotDoorがどのようにしてOutlookを秘密裏の通信、データ流出、マルウェア配信のチャネルとして悪用できるかを説明しています。
「このアーティファクトは、コード内で『nothing』という単語が使われていることからNotDoorと名付けられており、特定のトリガーワードを監視するために設計されたOutlook用のVBAマクロです」とブログ記事は述べています。「そのようなメールが検出されると、攻撃者はデータの流出、ファイルのアップロード、被害者のコンピュータ上でのコマンド実行が可能になります。」
NotDoorがOutlookにバックドアを作成する仕組み
Lab52によると、APT28は正規の署名付きバイナリであるMicrosoftのOneDrive.exeを介してバックドアを展開しており、これはDLLサイドローディングの脆弱性があります。攻撃者は悪意のあるDLLファイルSSPICLI.dllをロードし、マクロのセキュリティ防御を無効化してVBAマクロを標的ネットワークに配信します。
ローダーはBase64でエンコードされたPowerShellコマンドを実行し、これにはnslookupコマンドをDNSHookというサービス経由で実行する機能などが含まれます。Lab52によれば、APT28はオープンソースサービスWebhook.siteが提供するDNSHookを過去の脅威キャンペーンでも使用してきました。
ローダーはまた、マクロの実行を有効化し、ダイアログメッセージを無効にして検知のリスクを低減します。Outlook用のVBAプロジェクトとして現れるこのバックドアには、関数名をランダムなアルファベット文字列に置き換える難読化コードも含まれています。
Lab52によると、このバックドアはクライアントが攻撃者から特定の文字列が記載されたメールを受信した際に発動します。「その文字列が見つかると、マルウェアはメールの内容を解析し、実行すべきコマンドを抽出します」と研究者は記し、NotDoorの設定では複数のトリガー文字列が許可されていると付け加えています。「バックドアが作動すると、トリガーとなったメールは削除されます。」
NotDoorは標的システムへの永続的なアクセスを維持するだけでなく、APT28の攻撃者が同様のトリガー付きメールを送信して、メール添付ファイルを通じたデータ流出や悪意あるファイルのアップロードを開始することも可能にします。
Lab52は、NotDoorはAPT28の進化を示しており、この脅威グループが「確立された防御メカニズムを回避できる新たなアーティファクトを継続的に生み出している」と報告しています。
NotDoorが最初にどのように検出され、Lab52の研究者がどのようにしてこのバックドアをAPT28に帰属させたのかは明らかになっていません。Dark Readingはコメントを求めてS2 Grupoに連絡しましたが、記事執筆時点では返答はありませんでした。