Tin tức bảo mật mới nhất cho thấy các hacker do nhà nước Nga tài trợ đã phát triển một loại mã độc NotDoor backdoor mới, tinh vi. Mục tiêu chính của loại mã độc này là người dùng Microsoft Outlook, cho phép kẻ tấn công đánh cắp dữ liệu nhạy cảm và kiểm soát hoàn toàn các hệ thống bị xâm nhập.

Tổng quan về mã độc NotDoor và nhóm APT28

Giới thiệu về NotDoor và Fancy Bear

Mã độc NotDoor được gán cho APT28, một nhóm gián điệp mạng khét tiếng của Nga, còn được biết đến với tên Fancy Bear. Nhóm này liên kết với Cục Tình báo Chính (GRU) của Bộ Tổng tham mưu Nga.

APT28 đã hoạt động hơn một thập kỷ và chịu trách nhiệm cho nhiều cuộc tấn công mạng nổi tiếng. Các vụ việc bao gồm xâm nhập Ủy ban Quốc gia Dân chủ năm 2016 và các cuộc tấn công vào Cơ quan Chống Doping Thế giới.

Khám phá về mã độc NotDoor được công bố bởi LAB52, đơn vị tình báo mối đe dọa của công ty an ninh mạng S2 Grupo (Tây Ban Nha). Điều này làm nổi bật sự phát triển không ngừng của nhóm trong việc tạo ra các phương pháp mới để vượt qua cơ chế phòng thủ hiện đại. Tham khảo thêm về hoạt động của Fancy Bear tại GBHackers.

Tên “NotDoor” được các nhà nghiên cứu đặt ra do việc sử dụng thường xuyên từ “Nothing” trong cấu trúc mã của malware.

Đặc điểm kỹ thuật của NotDoor

NotDoor là một loại malware backdoor tàng hình, được viết bằng Visual Basic for Applications (VBA). Đây là ngôn ngữ kịch bản được sử dụng để tự động hóa các tác vụ trong ứng dụng Microsoft Office.

Mã độc NotDoor thể hiện sự tinh vi đáng kể trong cách tiếp cận để xâm nhập người dùng Outlook.

Malware hoạt động bằng cách theo dõi các email đến để tìm kiếm các từ khóa kích hoạt cụ thể, chẳng hạn như “Daily Report“.

Khi một email chứa các từ khóa này được phát hiện, mã độc NotDoor sẽ kích hoạt, cho phép kẻ tấn công thực thi các lệnh độc hại trên hệ thống của nạn nhân.

Kỹ thuật lẩn tránh và phương thức tấn công mạng

Các kỹ thuật lẩn tránh phát hiện tinh vi

Mã độc NotDoor sử dụng một số kỹ thuật tiên tiến để tránh bị phần mềm bảo mật phát hiện:

• Mã hóa mã nguồn (Code Obfuscation): Mã của malware được làm rối có chủ đích bằng cách sử dụng các tên biến ngẫu nhiên và các phương pháp mã hóa tùy chỉnh. Điều này khiến việc phân tích trở nên cực kỳ khó khăn cho các nhà nghiên cứu bảo mật.
• Kỹ thuật DLL Side-Loading: Malware khai thác một tệp nhị phân hợp pháp, đã ký của Microsoft là OneDrive.exe để tải các tệp DLL độc hại. Kỹ thuật này khiến malware xuất hiện như một tiến trình đáng tin cậy, giúp nó né tránh các biện pháp kiểm soát bảo mật.
• Sửa đổi Registry: Để duy trì sự bền bỉ (persistence), NotDoor sửa đổi các cài đặt registry của Outlook. Nó vô hiệu hóa các cảnh báo bảo mật về macro và ngăn chặn các lời nhắc của người dùng, cho phép malware chạy âm thầm mà không cảnh báo nạn nhân.

Những phương pháp này cho phép mã độc NotDoor ẩn mình hiệu quả trong môi trường hệ thống, gây khó khăn cho việc phát hiện và loại bỏ.

Cơ chế hoạt động và duy trì quyền kiểm soát

Mã độc NotDoor lạm dụng các tính năng hợp pháp của Outlook để duy trì quyền kiểm soát và ẩn mình. Nó sử dụng các trình kích hoạt VBA dựa trên sự kiện, bao gồm Application_MAPILogonComplete (chạy khi Outlook khởi động) và Application_NewMailEx (kích hoạt khi có email mới đến).

Khi hoạt động, NotDoor tạo một thư mục ẩn để lưu trữ các tệp tạm thời. Các tệp này sau đó được truyền (exfiltrate) đến một địa chỉ email do kẻ tấn công kiểm soát là [email protected], trước khi bị xóa khỏi hệ thống của nạn nhân.

Malware xác nhận việc thực thi thành công bằng cách gửi các phản hồi (callbacks) đến một trang webhook, cung cấp cho kẻ tấn công xác nhận thời gian thực về việc xâm nhập thành công.

Phạm vi tấn công và các biện pháp bảo mật Outlook đề xuất

Mục tiêu và ảnh hưởng của NotDoor

Theo phân tích của S2 Grupo, mã độc NotDoor đã được sử dụng thành công để xâm nhập nhiều công ty thuộc các lĩnh vực khác nhau tại các quốc gia thành viên NATO.

Điều này cho thấy hiệu quả của malware và chiến lược nhắm mục tiêu của nhóm đe dọa vào các tổ chức phương Tây. Nó minh chứng cho khả năng của APT28 trong việc phát triển các công cụ ngày càng tinh vi cho hoạt động gián điệp và xâm nhập hệ thống.

Các khuyến nghị bảo mật và IOC

Các chuyên gia bảo mật khuyến nghị một số biện pháp phòng thủ để bảo vệ chống lại các cuộc tấn công của mã độc NotDoor:

Các tổ chức nên tắt macro theo mặc định trên tất cả các hệ thống để loại bỏ vector tấn công chính này.

Các đội ngũ IT cũng nên triển khai giám sát chặt chẽ các hoạt động bất thường trong ứng dụng Outlook. Đồng thời, cần kiểm tra các trình kích hoạt dựa trên email có thể bị khai thác bởi các phần mềm độc hại tương tự để tăng cường bảo mật Outlook.

Sự xuất hiện của NotDoor đại diện cho một sự leo thang khác trong năng lực tác chiến mạng của APT28, cho thấy khả năng thích ứng và phát triển các công cụ tinh vi hơn của nhóm.

Chỉ số thỏa hiệp (IOCs)

Để hỗ trợ phát hiện và ứng phó, chỉ số thỏa hiệp sau đã được xác định liên quan đến mã độc NotDoor:

• Địa chỉ email exfiltration:[email protected]