Toolkit ampliato per APT28: introduzione del dispositivo di hacking Outlook 'NotDoor'
In un recente rapporto pubblicato dal laboratorio di intelligence threat S2 Grupo, LAB52, i ricercatori hanno identificato un nuovo backdoor per Outlook denominato 'NotDoor'. Questo malware basato su VBA, che prende di mira Microsoft Outlook, è stato attribuito al gruppo di minacce informatiche Russia-backed APT28.
NotDoor utilizza il carico laterale DLL tramite un binario Microsoft firmato per evitare la rilevazione. Attivato da email contenenti una stringa predefinita, esso analizza i comandi crittografati incorporati nel corpo del messaggio. Il malware stabilisce una comunicazione coperta esfiltrando i dati della vittima verso un indirizzo email controllato dall'attaccante.
Il codice di NotDoor è oscurato con nomi di variabili casuali e una tecnica di codifica stringhe personalizzata, rendendolo difficile per i sistemi di sicurezza rilevarlo. Abusa dei trigger VBA a evento di Outlook per attivare il suo carico, monitorando le email in arrivo per parole chiave specifiche per abilitare l'esfiltrrazione dei dati, il caricamento dei file e l'esecuzione dei comandi sui sistemi delle vittime.
NotDoor crea una directory nascosta per archiviare gli artifact, che vengono automaticamente inviati all'attaccante e cancellati. Questi risultati mettono in evidenza l'evoluzione continua di APT28, un gruppo di minacce informatiche noto anche come Fancy Bear, Fighting Ursa, Forest Blizzard, Pawn Storm, Strontium, Sednit, Sofacy e Tsar Team.
APT28 è stato collegato a diversi attacchi informatici di alto profilo in passato. Nel 2016, hanno compromesso la campagna presidenziale di Hillary Clinton, il Comitato Nazionale Democratico (DNC) e il Comitato Congresuale Democratico (DCCC). I loro obiettivi hanno incluso anche l'Agenzia Mondiale Antidoping (WADA), l'Agenzia Antidoping degli Stati Uniti, una centrale nucleare degli Stati Uniti, l'Organizzazione per la proibizione delle armi chimiche (OPCW) e il Laboratorio Chimico Svizzero di Spiez.
Nel 2018, il Dipartimento della Giustizia degli Stati Uniti (DoJ) ha incriminato cinque ufficiali della GRU Unità 26165 per aver orchestrato le intrusioni informatiche tra il 2014 e il 2018. NotDoor è l'ultima aggiunta al loro arsenale, dimostrando la loro capacità di generare nuovi artifact in grado di bypassare i meccanismi di difesa stabiliti.
LameHug, un altro malware collegato ad APT28, è stato inizialmente rilevato dal National Computer Emergency Response Team of Ukraine (CERT-UA) nel luglio 2025. È stato uno dei primi malware ad utilizzare modelli di linguaggio naturale (LLMs). I ricercatori di MITRE hanno descritto LameHug come un "laboratorio primitivo" per gli attacchi futuri alimentati dall'IA.
NotDoor e LameHug illustrano i continui sforzi di APT28 per evolversi, potenzialmente rappresentando una minaccia significativa per i sistemi di sicurezza in tutto il mondo. È fondamentale che le organizzazioni rimangano vigili e implementino misure di cybersecurity robuste per proteggersi da queste minacce.
