Source: LAB52 (équipe renseignement de S2 Grupo). Contexte: analyse technique d’un nouvel artefact d’APT28 (« NotDoor ») ayant compromis des entreprises de divers secteurs dans des pays membres de l’OTAN.

🔍 Livraison et installation: Le malware est une macro VBA pour Outlook installée via DLL side‑loading en abusant du binaire légitime Microsoft OneDrive.exe qui charge une SSPICLI.dll malveillante. Cette DLL installe la backdoor en copiant un fichier préparé (c:\programdata\testtemp.ini) vers %APPDATA%\Microsoft\Outlook\VbaProject.OTM, puis désactive des protections macro et boîtes de dialogue via la base de registre.

🧰 Loader et persistance: Trois commandes PowerShell encodées Base64 sont exécutées: copie du fichier INI vers VbaProject.OTM, nslookup vers un domaine instrumenté (webhook/dnshook) pour vérification d’exécution, puis curl vers webhook[.]site incluant le nom d’utilisateur. La persistance s’appuie sur le registre: activation de LoadMacroProviderOnBoot (Software\Microsoft\Office\16.0\Outlook), modification du Level (Software\Microsoft\Office\16.0\Outlook\Security) et désactivation de dialogues (Software\Microsoft\Office\16.0\Outlook\Options\General).

💌 Fonctionnement de la backdoor: Le projet VBA (faiblement détecté) s’exécute sur Application_MAPILogonComplete et Application_NewMailEx. Il est obfusqué et utilise un encodage de chaînes personnalisé (alphanum aléatoire préfixé à une chaîne Base64 valide). À la connexion, création du dossier %TEMP%\Temp; si des fichiers y existent, ils sont envoyés par email à a.matti444@proton[.]me (sujet « Re: 0 ») puis supprimés. À la réception, un email avec chaîne déclencheur (ex. « Daily Report ») active les fonctions; l’email est ensuite supprimé. La structure attendue inclut un ID numérique, une adresse d’exfiltration chiffrée et des commandes chiffrées. Commandes supportées: cmd (exécute et renvoie la sortie en pièce jointe), cmdno (exécution sans renvoi), dwn (exfiltration de fichiers en pièces jointes), upl (téléversement de fichiers sur la machine). Les résultats sont renvoyés par email (sujet « Re: »). Les fichiers exfiltrés sont encodés avec la méthode maison, nommés selon une liste prédéfinie (ex. report_, invoice_, contract_, … avec extensions jpg, pdf, docx, xlsx, etc.), puis supprimés.

IOC (indicateurs de compromission):

  • SHA256:
    • fcb6dc17f96af2568d7fa97a6087e4539285141206185aec5c85fa9cf73c9193 (OneDrive.exe légitime)
    • 5a88a15a1d764e635462f78a0cd958b17e6d22c716740febc114a408eef66705 (SSPICLI.dll malveillant)
    • 8f4bca3c62268fff0458322d111a511e0bcfba255d5ab78c45973bd293379901 (testtemp.ini)
  • Réseau:
    • a.matti444@proton[.]me (exfiltration)
    • nslookup vers $env:USERNAME.910cf351-a05d-4f67-ab8e-6f62cfa8e26d.dnshook[.]site
    • curl vers hxxp://webhook[.]site/910cf351-a05d-4f67-ab8e-6f62cfa8e26d?$env:USERNAME
  • Chemins/artefacts:
    • c:\programdata\testtemp.ini (artefact observé)
    • %APPDATA%\Microsoft\Outlook\VbaProject.OTM (macro Outlook)
    • %TEMP%\Temp (dossier utilisé par la backdoor)
    • IOC list: %Temp%\Test (dossier mentionné)
  • Registre:
    • Software\Microsoft\Office\16.0\Outlook\LoadMacroProviderOnBoot (activé)
    • Software\Microsoft\Office\16.0\Outlook\Security\Level (modifié)
    • Software\Microsoft\Office\16.0\Outlook\Options\General (dialogues désactivés)

TTPs clés:

  • DLL side‑loading via OneDrive.exe signé
  • Macros VBA Outlook avec événements MAPILogonComplete/NewMailEx
  • PowerShell encodé Base64 (copie, balise DNS, requête HTTP)
  • Persistance registre et affaiblissement des protections macros
  • C2 par email avec sujets déclencheurs et suppression des emails
  • Obfuscation et encodage custom des chaînes
  • Exfiltration par email (Proton) et usage de webhook/dnshook pour vérification

Conclusion: Article d’« analyse de menace » détaillant le fonctionnement, la livraison, la persistance et les IOCs de la backdoor « NotDoor » d’APT28.

🧠 TTPs et IOCs détectés

TTP

[‘DLL side-loading via OneDrive.exe signé’, ‘Macros VBA Outlook avec événements MAPILogonComplete/NewMailEx’, ‘PowerShell encodé Base64 (copie, balise DNS, requête HTTP)’, ‘Persistance registre et affaiblissement des protections macros’, ‘C2 par email avec sujets déclencheurs et suppression des emails’, ‘Obfuscation et encodage custom des chaînes’, ‘Exfiltration par email (Proton) et usage de webhook/dnshook pour vérification’]

IOC

{‘hash’: [‘fcb6dc17f96af2568d7fa97a6087e4539285141206185aec5c85fa9cf73c9193’, ‘5a88a15a1d764e635462f78a0cd958b17e6d22c716740febc114a408eef66705’, ‘8f4bca3c62268fff0458322d111a511e0bcfba255d5ab78c45973bd293379901’], ‘domaine’: [‘a.matti444@proton.me’, ‘$env:USERNAME.910cf351-a05d-4f67-ab8e-6f62cfa8e26d.dnshook.site’, ‘webhook.site’], ‘chemins/artefacts’: [‘c:\programdata\testtemp.ini’, ‘%APPDATA%\Microsoft\Outlook\VbaProject.OTM’, ‘%TEMP%\Temp’], ‘registre’: [‘Software\Microsoft\Office\16.0\Outlook\LoadMacroProviderOnBoot’, ‘Software\Microsoft\Office\16.0\Outlook\Security\Level’, ‘Software\Microsoft\Office\16.0\Outlook\Options\General’]}

🔗 Source originale : https://lab52.io/blog/analyzing-notdoor-inside-apt28s-expanding-arsenal/