เรื่องเล่าจาก Outlook ถึง OneDrive: เมื่อ APT28 ใช้ช่องโหว่ของระบบที่เราไว้ใจมากที่สุด

กลุ่มแฮกเกอร์ APT28 หรือที่รู้จักกันในชื่อ Fancy Bear, STRONTIUM, Sednit และอีกหลายชื่อ เป็นกลุ่มที่เชื่อมโยงกับหน่วยข่าวกรองของรัสเซีย และมีประวัติการโจมตีองค์กรในประเทศ NATO มายาวนาน ล่าสุดพวกเขาถูกจับได้ว่าใช้มัลแวร์ชื่อ “NotDoor” ซึ่งเป็น VBA macro ที่ฝังอยู่ใน Microsoft Outlook เพื่อขโมยข้อมูลและควบคุมเครื่องของเหยื่อจากระยะไกล

NotDoor ทำงานโดยรออีเมลที่มีคำสั่งลับ เช่น “Daily Report” เมื่อพบคำนี้ มันจะเริ่มทำงานทันที—ขโมยไฟล์, ส่งข้อมูลออก, ติดตั้ง payload ใหม่ และรันคำสั่ง—all ผ่านอีเมลที่ดูเหมือนปกติ โดยใช้ชื่อไฟล์ทั่วไป เช่น “report.pdf” หรือ “invoice.jpg” เพื่อไม่ให้ถูกสงสัย

ที่น่ากลัวคือวิธีที่มันเข้าสู่ระบบ: APT28 ใช้ไฟล์ OneDrive.exe ที่เซ็นรับรองโดย Microsoft เพื่อ sideload DLL ชื่อ SSPICLI.dll ซึ่งจะปิดการป้องกัน macro และติดตั้ง NotDoor โดยใช้ PowerShell ที่ถูกเข้ารหัสแบบ Base644 จากนั้นมันจะฝังตัวในโฟลเดอร์ macro ของ Outlook, สร้าง persistence ผ่าน registry, และปิดข้อความแจ้งเตือนทั้งหมดเพื่อไม่ให้ผู้ใช้รู้ตัว

มัลแวร์นี้ยังใช้ DNS และ HTTP callback ไปยัง webhook.site เพื่อยืนยันการติดตั้ง และสามารถส่งข้อมูลออกไปยังอีเมล ProtonMail ที่ควบคุมโดยผู้โจมตีได้โดยตรง

ลักษณะของ NotDoor และการทำงาน
เป็น VBA macro ที่ฝังใน Outlook และทำงานเมื่อมีอีเมล trigger เช่น “Daily Report”
สามารถขโมยไฟล์, ส่งข้อมูล, ติดตั้ง payload และรันคำสั่งผ่านอีเมล
ใช้ชื่อไฟล์ทั่วไปและหัวข้ออีเมลที่ดูปกติเพื่อหลบการตรวจจับ

วิธีการติดตั้งและการหลบหลีก
ใช้ OneDrive.exe ที่เซ็นรับรองเพื่อ sideload DLL ชื่อ SSPICLI.dll
ใช้ PowerShell ที่เข้ารหัสเพื่อฝัง macro ใน Outlook
สร้าง persistence ผ่าน registry และปิดข้อความแจ้งเตือนของ Outlook

การสื่อสารและการยืนยันการติดตั้ง
ใช้ DNS และ HTTP callback ไปยัง webhook.site เพื่อยืนยันการทำงาน
ส่งข้อมูลออกไปยังอีเมล ProtonMail ที่ควบคุมโดยผู้โจมตี
ลบอีเมล trigger และไฟล์ที่ขโมยหลังส่งออกเพื่อไม่ให้เหลือร่องรอย

คำแนะนำจากผู้เชี่ยวชาญ
ปิดใช้งาน Outlook VBA และ macro ผ่าน Group Policy
ใช้ Microsoft Defender ASR rules เพื่อป้องกัน Office จากการรัน child process
ใช้ WDAC หรือ AppLocker เพื่อควบคุมการโหลด DLL

https://hackread.com/russian-apt28-notdoor-backdoor-microsoft-outlook/
🎙️ เรื่องเล่าจาก Outlook ถึง OneDrive: เมื่อ APT28 ใช้ช่องโหว่ของระบบที่เราไว้ใจมากที่สุด กลุ่มแฮกเกอร์ APT28 หรือที่รู้จักกันในชื่อ Fancy Bear, STRONTIUM, Sednit และอีกหลายชื่อ เป็นกลุ่มที่เชื่อมโยงกับหน่วยข่าวกรองของรัสเซีย และมีประวัติการโจมตีองค์กรในประเทศ NATO มายาวนาน ล่าสุดพวกเขาถูกจับได้ว่าใช้มัลแวร์ชื่อ “NotDoor” ซึ่งเป็น VBA macro ที่ฝังอยู่ใน Microsoft Outlook เพื่อขโมยข้อมูลและควบคุมเครื่องของเหยื่อจากระยะไกล NotDoor ทำงานโดยรออีเมลที่มีคำสั่งลับ เช่น “Daily Report” เมื่อพบคำนี้ มันจะเริ่มทำงานทันที—ขโมยไฟล์, ส่งข้อมูลออก, ติดตั้ง payload ใหม่ และรันคำสั่ง—all ผ่านอีเมลที่ดูเหมือนปกติ โดยใช้ชื่อไฟล์ทั่วไป เช่น “report.pdf” หรือ “invoice.jpg” เพื่อไม่ให้ถูกสงสัย ที่น่ากลัวคือวิธีที่มันเข้าสู่ระบบ: APT28 ใช้ไฟล์ OneDrive.exe ที่เซ็นรับรองโดย Microsoft เพื่อ sideload DLL ชื่อ SSPICLI.dll ซึ่งจะปิดการป้องกัน macro และติดตั้ง NotDoor โดยใช้ PowerShell ที่ถูกเข้ารหัสแบบ Base644 จากนั้นมันจะฝังตัวในโฟลเดอร์ macro ของ Outlook, สร้าง persistence ผ่าน registry, และปิดข้อความแจ้งเตือนทั้งหมดเพื่อไม่ให้ผู้ใช้รู้ตัว มัลแวร์นี้ยังใช้ DNS และ HTTP callback ไปยัง webhook.site เพื่อยืนยันการติดตั้ง และสามารถส่งข้อมูลออกไปยังอีเมล ProtonMail ที่ควบคุมโดยผู้โจมตีได้โดยตรง ✅ ลักษณะของ NotDoor และการทำงาน ➡️ เป็น VBA macro ที่ฝังใน Outlook และทำงานเมื่อมีอีเมล trigger เช่น “Daily Report” ➡️ สามารถขโมยไฟล์, ส่งข้อมูล, ติดตั้ง payload และรันคำสั่งผ่านอีเมล ➡️ ใช้ชื่อไฟล์ทั่วไปและหัวข้ออีเมลที่ดูปกติเพื่อหลบการตรวจจับ ✅ วิธีการติดตั้งและการหลบหลีก ➡️ ใช้ OneDrive.exe ที่เซ็นรับรองเพื่อ sideload DLL ชื่อ SSPICLI.dll ➡️ ใช้ PowerShell ที่เข้ารหัสเพื่อฝัง macro ใน Outlook ➡️ สร้าง persistence ผ่าน registry และปิดข้อความแจ้งเตือนของ Outlook ✅ การสื่อสารและการยืนยันการติดตั้ง ➡️ ใช้ DNS และ HTTP callback ไปยัง webhook.site เพื่อยืนยันการทำงาน ➡️ ส่งข้อมูลออกไปยังอีเมล ProtonMail ที่ควบคุมโดยผู้โจมตี ➡️ ลบอีเมล trigger และไฟล์ที่ขโมยหลังส่งออกเพื่อไม่ให้เหลือร่องรอย ✅ คำแนะนำจากผู้เชี่ยวชาญ ➡️ ปิดใช้งาน Outlook VBA และ macro ผ่าน Group Policy ➡️ ใช้ Microsoft Defender ASR rules เพื่อป้องกัน Office จากการรัน child process ➡️ ใช้ WDAC หรือ AppLocker เพื่อควบคุมการโหลด DLL https://hackread.com/russian-apt28-notdoor-backdoor-microsoft-outlook/
HACKREAD.COM
Russian APT28 Deploys “NotDoor” Backdoor Through Microsoft Outlook
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
0 Comments 0 Shares 69 Views 0 Reviews