APT28 déploie « NotDoor », une backdoor Outlook via side‑loading OneDrive et macros VBA
Source: LAB52 (équipe renseignement de S2 Grupo). Contexte: analyse technique d’un nouvel artefact d’APT28 (« NotDoor ») ayant compromis des entreprises de divers secteurs dans des pays membres de l’OTAN. 🔍 Livraison et installation: Le malware est une macro VBA pour Outlook installée via DLL side‑loading en abusant du binaire légitime Microsoft OneDrive.exe qui charge une SSPICLI.dll malveillante. Cette DLL installe la backdoor en copiant un fichier préparé (c:\programdata\testtemp.ini) vers %APPDATA%\Microsoft\Outlook\VbaProject.OTM, puis désactive des protections macro et boîtes de dialogue via la base de registre. ...