Outlook som angrebsflade: APT28 udnytter makroer til skjult datatyveri

Eskil Sørensen

09.04.2025 10:27

Ny malware ‘NotDoor’ viser, hvordan avancerede trusselsaktører udnytter almindelige værktøjer til målrettede angreb

En ny analyse fra det spanske cybersikkerhedsfirma S2 Grupo afslører, at den russiske trusselsaktør APT28 har udviklet en ny type malware, der udnytter Microsoft Outlook som angrebsflade. Malwaren, kaldet NotDoor, gemmer sig i makroer og aktiveres, når Outlook startes eller modtager bestemte e-mails.

Det skriver Info Security Magazine.

Det særlige ved NotDoor er, at den ikke kræver, at brugeren klikker på noget mistænkeligt. Den udnytter Outlooks indbyggede automatisering – det, der normalt bruges til at gøre hverdagen nemmere – til at udføre kommandoer, stjæle filer og sende data til angriberen, helt uden brugerens viden.

Hvordan virker det?

Af artiklen fremgår det, at malwaren er skrevet i VBA (Visual Basic for Applications), som er det sprog, der bruges til at automatisere opgaver i Office-programmer. NotDoor overvåger indgående e-mails for bestemte nøgleord og reagerer ved at:

Udføre kommandoer på brugerens computer
Stjæle og sende filer til en angriberstyret e-mailadresse
Downloade yderligere skadelig software
Omgå sikkerhedsindstillinger i Outlook for at undgå advarsler

Den benytter også en teknik kaldet DLL side-loading, hvor en legitim Microsoft-fil (OneDrive.exe) bruges til at indlæse en ondsindet komponent, hvilket gør det svært for antivirusprogrammer at opdage angrebet.

APT28 og GRU

APT28 er en velkendt trusselsaktør med forbindelser til den russiske efterretningstjeneste GRU. Gruppen har tidligere stået bag angreb mod politiske organisationer, forskningsinstitutioner og internationale myndigheder. NotDoor viser, hvordan trusselsaktører udnytter almindelige programmer og funktioner, som findes i stort set alle organisationer, til at udføre avancerede og skjulte angreb.

Det anbefales, at

Deaktivere makroer som standard, især i Outlook
Overvåge for usædvanlig aktivitet, som automatiske handlinger ved modtagelse af e-mails
Undersøge registreringsindstillinger for tegn på manipulation
Scanne for DLL side-loading, især via kendte Microsoft-filer
Opdatere sikkerhedspolitikker for e-mail og Office-brug

NotDoor er et eksempel på, hvordan trusler ikke nødvendigvis kommer udefra – de kan gemme sig i de værktøjer, vi bruger hver dag. Outlook er ikke bare en e-mailklient, men også en potentiel angrebsflade, hvis automatisering og makroer ikke kontrolleres.

Læs mere

https://www.infosecurity-magazine.com/news/russia-apt28-notdoor-outlook/

Trusselsvurdering