俄羅斯 APT28 透過 Microsoft Outlook 部署「NotDoor」後門
報導摘要
根據資安研究人員的發現,與俄羅斯軍事情報機構(GRU)相關的國家級駭客組織APT28(又稱Fancy Bear或Strontium),正在針對北約成員國家的多家企業,部署一種名為「NotDoor」的新型後門程式。這種惡意軟體專門針對Microsoft Outlook,利用VBA(Visual Basic for Applications)宏來監控收到的電子郵件,一旦偵測到特定的觸發詞,便會啟動後門,讓攻擊者能夠秘密地從受害電腦中竊取資料、上傳檔案,甚至執行遠端指令。此次攻擊事件突顯了駭客組織不斷演進的攻擊手法,以及電子郵件客戶端作為隱蔽通訊與惡意程式傳遞渠道的潛在風險。
「NotDoor」後門程式運作機制解析
「NotDoor」後門程式的名稱源自其程式碼中隱藏的「Nothing」字樣,是一種專為Microsoft Outlook設計的高度混淆型VBA宏專案。其運作模式極為複雜與隱蔽,旨在繞過傳統的資安防禦。
其主要運作機制包括:
初始感染:儘管確切的初始存取向量尚不清楚,但研究顯示,「NotDoor」是透過一種稱為「DLL側載(DLL Sideloading)」的技術進行部署。駭客利用微軟OneDrive可執行檔「onedrive.exe」這個合法且受信任的二進位檔案,加載一個惡意的DLL檔案(SSPICLI.dll)。這種手法讓惡意程式的執行看起來像是來自一個無害的、已簽章的程式,從而繞過部分安全軟體的偵測。
啟用與持久化:一旦惡意DLL被載入,它會執行一系列Base64編碼的PowerShell命令。這些命令會將惡意VBA專案植入Outlook,並修改Windows登錄檔以啟用宏執行,同時關閉Outlook中可能彈出的警告對話框,以減少被用戶發現的可能性。這使得後門程式在電腦重新啟動或Outlook開啟時,能夠持續運行。
隱蔽的命令與控制(C2):NotDoor的獨特之處在於其將電子郵件作為命令與控制(C2)通道。後門程式會持續監控Outlook收到的新郵件。當一封郵件包含預先設定好的觸發詞時(例如攻擊者發送的一個秘密字串),後門程式便會被激活。
惡意功能執行:一旦被觸發,後門程式便會允許攻擊者執行多種惡意行為,包括:
資料外洩(Data Exfiltration):後門程式可將受害電腦中的敏感檔案、電子郵件或其他資料打包,並通過電子郵件或直接上傳到攻擊者控制的伺服器。
檔案上傳:攻擊者可以將新的惡意檔案上傳到受害電腦。
遠端命令執行:攻擊者能夠在受害者的電腦上遠端執行任意指令,從而進行更深入的偵察或橫向移動。
自我清理:為了消除證據,在執行完惡意指令後,觸發該指令的電子郵件會被自動刪除。
APT28:俄羅斯國家級駭客組織
APT28,又稱「Fancy Bear」,是世界上最活躍和最危險的國家級駭客組織之一,被認為與俄羅斯軍事情報總局(GRU)有直接關聯。該組織以其高度複雜的網路間諜活動而聞名,其攻擊目標通常是:
政府機構:特別是與北約、歐洲聯盟相關的政府單位。
軍事與國防產業:竊取軍事技術與情報。
能源與交通:攻擊關鍵基礎設施。
媒體與非政府組織:進行網路干預或竊取敏感資訊。
此次「NotDoor」的發現再次證明了APT28不斷開發和利用新技術來規避防禦的決心。這類高階持續性威脅(APT)的攻擊往往是高度客製化的,且旨在進行長期、隱蔽的網路間諜活動。
對台灣企業的啟示與防禦建議
APT28的攻擊手法為全球企業敲響了警鐘,對於台灣企業而言,特別是那些與國際供應鏈或敏感產業相關的企業,必須將此類威脅納入資安防禦策略中。
以下是針對台灣企業的具體防禦建議:
強化電子郵件安全防禦:
實施零信任架構:
定期進行資安教育與意識訓練:
持續監控與威脅情資:
結論
APT28利用「NotDoor」後門程式的攻擊,再次證明了國家級駭客組織的威脅日趨複雜且難以預測。他們不再僅僅依賴簡單的惡意軟體,而是結合複雜的技術,利用受信任的軟體與服務來發動攻擊。對於台灣企業而言,這份報導不僅是個警告,更是行動的號召。唯有從技術、政策和人員意識等多個層面全面提升資安防護,才能有效抵禦這些無所不在的隱形威脅,保護企業的關鍵資產與資料安全。
資料來源:https://hackread.com/russian-apt28-notdoor-backdoor-microsoft-outlook/
俄羅斯國家級駭客組織APT28,被發現針對北約成員國的企業發動攻擊,並部署一種名為「NotDoor」的新型Microsoft Outlook後門程式。