Selon le blog PolySwarm, le groupe lié au renseignement russe Fancy Bear (APT28) a déployé NotDoor, un backdoor sophistiqué pour Outlook visant des pays membres de l’OTAN.

• Le malware repose sur des macros VBA et abuse un binaire Microsoft OneDrive.exe signé vulnérable au DLL side-loading pour charger une SSPICLI.dll malveillante. Cette DLL installe des macros dans VbaProject.OTM d’Outlook, fournissant le point d’accès du backdoor.

• NotDoor surveille des déclencheurs e-mail tels que « Daily Report », puis parse des commandes chiffrées via un encodage Base64 personnalisé avec préfixes aléatoires. Il prend en charge quatre types de commandes: cmd, cmdno, dwn, upl.

• Les capacités incluent l’exfiltration de données, le téléversement de fichiers et l’exécution de commandes à distance. La persistance s’appuie sur des modifications du registre qui désactivent la sécurité des macros, avec des mécanismes de contournement dédiés.

• Pour la confirmation de commandes, le malware utilise des requêtes PowerShell et curl vers des domaines webhook.site. Ces échanges servent à la télémétrie/confirmation sans attirer l’attention. ⚙️

IOC et TTP extraits:

  • TTPs: DLL side-loading via OneDrive.exe; macros VBA Outlook (VbaProject.OTM); activation par e-mails; chiffrement/obfuscation Base64 custom; désactivation de la sécurité des macros par registre; exfiltration/téléversement/exécution de commandes; usage de PowerShell et curl vers des services externes.
  • Indicateurs observables: sujet e-mail “Daily Report” (déclencheur); utilisation de domaines webhook.site; présence de SSPICLI.dll malveillante aux côtés de OneDrive.exe; modifications de VbaProject.OTM.

Il s’agit d’une analyse de menace visant à documenter les techniques, capacités et mécanismes de persistance/commande de NotDoor.

🧠 TTPs et IOCs détectés

TTPs

DLL side-loading via OneDrive.exe; macros VBA Outlook (VbaProject.OTM); activation par e-mails; chiffrement/obfuscation Base64 custom; désactivation de la sécurité des macros par registre; exfiltration/téléversement/exécution de commandes; usage de PowerShell et curl vers des services externes.

IOCs

sujet e-mail “Daily Report” (déclencheur); utilisation de domaines webhook.site; présence de SSPICLI.dll malveillante aux côtés de OneDrive.exe; modifications de VbaProject.OTM.

🔗 Source originale : https://blog.polyswarm.io/fancy-bear-uses-notdoor-to-target-nato-countries

🖴 Archive : https://web.archive.org/web/20250915093650/https://blog.polyswarm.io/fancy-bear-uses-notdoor-to-target-nato-countries