摘要：俄罗斯黑客开发了一种名为“NotDoor”的复杂新型后门恶意软件，专门针对 Microsoft Outlook 用户，使攻击者能够窃取敏感数据并完全控制受感染的系统。

俄罗斯黑客开发了一种名为“NotDoor”的复杂新型后门恶意软件，专门针对 Microsoft Outlook 用户，使攻击者能够窃取敏感数据并完全控制受感染的系统。

NotDoor 恶意软件被归咎于俄罗斯高级威胁组织 APT28，该组织又名Fancy Bear。该威胁组织已活跃了十多年，对备受瞩目的网络攻击负责。

“NotDoor”后门由西班牙网络安全公司 S2 Grupo 的威胁情报部门 LAB52 发现。

NotDoor 是一种用 Visual Basic for Applications (VBA) 编写的隐秘恶意软件，VBA 是Microsoft Office 应用程序中的任务脚本语言。

该后门在危害 Outlook 用户的方法上表现出了相当的复杂性。

该恶意软件通过监控收到的电子邮件中的特定触发词（例如“每日报告”）来运行。

当检测到包含这些触发器的电子邮件时，恶意软件就会激活，使攻击者能够在受害者的系统上执行恶意命令。

“NotDoor”这个名字是研究人员创造的，因为恶意软件的代码结构中经常使用“Nothing”这个词。

NotDoor 采用了多种先进技术来逃避安全软件的检测：

代码混淆：恶意软件的代码故意使用随机变量名和自定义编码方法进行打乱，使得安全研究人员的分析极其困难。

DLL 侧加载：该恶意软件利用名为 OneDrive.exe 的合法且已签名的 Microsoft 二进制文件来加载恶意 DLL 文件。这种技术使恶意软件看起来像一个受信任的进程，从而帮助其规避安全控制。

注册表修改：为了实现持久性，NotDoor 会修改 Outlook 的注册表设置，禁用有关宏的安全警告并隐藏用户提示。这使得恶意软件能够静默运行，而不会引起受害者的警觉。

该恶意软件滥用合法的 Outlook 功能来保持持久性和隐藏性。它使用事件驱动的 VBA 触发器，包括 Application_MAPILogonComplete（在 Outlook 启动时运行）和 Application_NewMailEx（在新邮件到达时激活）。

一旦激活，NotDoor 就会创建一个隐藏目录来存储临时文件。这些文件随后会被泄露到攻击者控制的电子邮件地址 (a.matti444@proton.me)，最终从受害者的系统中删除。

该恶意软件通过向 webhook 站点发送回调来确认执行成功，为攻击者提供实时的入侵确认。

根据S2 Grupo的分析，NotDoor恶意软件已经被成功用于攻击北约成员国多个行业的多家公司。

安全专家建议采取以下几种防御措施来防范 NotDoor 攻击：

组织应该在其系统中默认禁用宏，因为这消除了主要的攻击媒介。

IT 团队还应密切监控 Outlook 应用程序中的异常活动，并检查可能被类似恶意软件利用的基于电子邮件的触发器。

技术报告：

来源：会杀毒的单反狗