Il gruppo di hacker sponsorizzato dallo stato russo noto come APT28 è stato recentemente collegato a una nuova campagna di attacchi che sfrutta una backdoor per Microsoft Outlook denominata NotDoor. Questa minaccia si rivolge specificamente a società di diversi settori situate in paesi membri della NATO, confermando il continuo interesse di APT28 verso bersagli di valore strategico nell’area euro-atlantica.

Funzionamento e caratteristiche della backdoor NotDoor

NotDoor si presenta come una macro VBA malevola per Outlook, progettata per monitorare le email in arrivo alla ricerca di una parola chiave specifica. Quando viene rilevata la parola di attivazione, la macro consente agli attaccanti di esfiltrare dati, caricare file e impartire comandi direttamente sulla macchina della vittima. Il nome NotDoor deriva dalla presenza della parola “Nothing” nel codice sorgente, dettaglio che sottolinea l’attenzione degli sviluppatori nel mascherare le proprie tracce.

L’infezione inizia probabilmente tramite la tecnica del DLL side-loading sfruttando l’eseguibile OneDrive di Microsoft, che carica una DLL malevola (SSPICLI.dll). Questa DLL provvede a installare la backdoor VBA e a disabilitare le protezioni di sicurezza relative alle macro, ampliando così la superficie di attacco. Una volta insediata, la minaccia esegue comandi PowerShell codificati in Base64 per comunicare con un webhook controllato dagli attaccanti, garantendo la persistenza tramite modifiche al registro di sistema e impedendo la comparsa di messaggi di sicurezza in Outlook.

Modalità operative e comandi

NotDoor sfrutta gli eventi MAPILogonComplete e NewMailEx di Outlook per attivarsi sia all’avvio dell’applicazione sia alla ricezione di nuove email. I dati raccolti vengono temporaneamente salvati in una cartella %TEMP%Temp e successivamente inviati a indirizzi email Proton Mail controllati dagli attaccanti. Il malware riconosce comandi specifici come “cmd”, “cmdno”, “dwn” e “upl” per l’esecuzione di istruzioni, il furto di file o l’upload di contenuti sulla macchina compromessa.

Sofisticazione e nuove tecniche di attacco

Questa campagna evidenzia una crescente sofisticazione nell’abuso di strumenti legittimi come Outlook e servizi cloud come OneDrive, così da rendere più difficile il rilevamento e la mitigazione delle minacce. Parallelamente, emergono tecniche simili anche da altri gruppi, come l’utilizzo di servizi cloud legittimi per il comando e controllo, aumentando ulteriormente il livello di stealth delle operazioni cybercriminali. La capacità di APT28 di combinare macro VBA, tecniche di persistenza avanzata e canali di esfiltrazione email rende NotDoor una minaccia particolarmente insidiosa per le organizzazioni occidentali.