俄羅斯駭客APT28鎖定北約成員國而來，對收信軟體Outlook用戶部署後門NotDoor

兩年前俄羅斯駭客APT28鎖定收信軟體Outlook零時差漏洞CVE-2023-23397（CVSS風險評分為9.8），針對北約組織（NATO）成員國下手，目的是挾持Exchange電子郵件信箱帳號，如今這些駭客使用新的後門程式犯案，引起資安業者的注意。

資安業者S2 Grupo指出，APT28近期使用名為NotDoor的後門程式，對北約成員國的企業組織發動攻擊，此後門實際上是Outlook的VBA巨集，功能是監控傳入的電子郵件，一旦出現特定的文字，就會試圖接收攻擊者的命令，然後竊取資料、上傳檔案，或是在受害電腦執行命令。

為了迴避偵測，駭客濫用微軟檔案共享服務OneDrive的應用程式執行檔，透過DLL側載手法載入惡意檔案SSPICLI.dll，於受害電腦植入NotDoor，並停用巨集防護機制。過程中惡意程式載入工具會執行經Base64處理的PowerShell命令，以便達成目的。

此後門程式相當隱密，S2 Grupo上傳至VirusTotal，64個防毒引擎僅有4個將其視為有害。而對於該後門的運作方式，主要是在Outlook啟動或是收到新郵件的時候，透過特定的事件來觸發、執行程式碼。NotDoor有4項功能，分別是執行命令、執行命令並透過郵件附件回傳結果、外洩受害電腦資料，以及上傳檔案到受害電腦。