Le groupe de pirates russes APT28, affilié à l’État, a été associé au déploiement d’une nouvelle porte dérobée surnommée “NotDoor”. Grâce à elle, Microsoft Outlook est détourné pour exécuter des commandes et exfiltrer des données. Voici ce que l’on sait.
NotDoor : une macro VBA qui s’appuie sur Outlook
Les chercheurs en cybersécurité de l’équipe LAB52 de S2 Grupo ont identifié un nouveau malware baptisé “NotDoor”. Cette porte dérobée prend la forme d’une macro VBA conçue pour se greffer sur Microsoft Outlook, puisqu’elle surveille constamment l’activité du client de messagerie. Plus précisément, elle analyse chaque e-mail entrant à la recherche d’un mot déclencheur !
Lorsqu’un message contenant une chaîne de caractères prédéfinie (comme “Daily Report”) est détecté, la porte dérobée s’active et interprète le contenu de l’e-mail comme une commande. Voici un exemple :
Source : lab52.io
Ce malware prend en charge plusieurs instructions pour exécuter des commandes et exfiltrer des données à partir de la machine infectée :
cmd : exécute une commande et renvoie le résultat en tant que pièce jointe par e-mail.
cmdno : exécute une commande sans retourner de résultat.
dwn : exfiltre des fichiers ciblés en les envoyant en pièce jointe.
upl : télécharge et dépose des fichiers sur l’ordinateur de la victime.
“Le contenu du fichier est encodé à l’aide du chiffrement personnalisé du malware, envoyé par courrier électronique, puis supprimé du système.”, précise les chercheurs dans leur rapport. En effet, les données sont envoyées vers une adresse Proton Mail contrôlée par les attaquants. La porte dérobée NotDoor peut s’avérer utile pour du cyberespionnage.
Néanmoins, il reste une zone d’ombre : le vecteur d’accès initial reste inconnu, mais la porte dérobée serait déployée via l’exécutable légitime de Microsoft OneDrive (onedrive.exe) en utilisant une technique de “DLL side-loading” (avec la bibliothèque SSPICLI.dll).
Les attaques identifiées par S2 Grupo ont été associées au groupe APT28 (aussi connu sous le nom de Fancy Bear), un groupe de pirates affilié à l’État Russe. Les cibles seraient des entreprises localisées dans les pays membres de l’OTAN, soit 32 pays, dont la France, la Belgique et le Canada.
L’abus des services légitimes, une tendance de fond
Cette nouvelle campagne rappelle que les services légitimes sont régulièrement détournés par les cybercriminels. Dans le cas présent, le groupe APT28 détourne l’utilisation de Proton Mail, ce dernier étant utilisé pour collecter des données via l’adresse e-mail suivante : a.matti444@proton[.]me.
De plus, les outils officiels de Microsoft, à savoir Outlook et OneDrive, sont, eux aussi, impliqués dans la chaine d’exploitation.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.