Снова русские хакеры

APT28 разворачивает бэкдор NotDoor для атак на компании в странах НАТО

Хакерская группировка APT28, получила атрибуцию новой вредоносной разработке — бэкдору NotDoor, нацеленному на компании из разных отраслей в странах НАТО. Эксперты из S2 Grupo (LAB52) сообщили, что NotDoor представляет собой макрос VBA для Microsoft Outlook, предназначенный для мониторинга входящих писем на наличие определённого триггерного слова. Как только нужное сообщение обнаружено, злоумышленники получают возможность выгружать данные, загружать файлы и выполнять команды на компьютере жертвы. Название «NotDoor» связано с использованием слова Nothing в исходном коде. По сути, Outlook используется как скрытый канал для управления заражёнными системами, кражи информации и доставки дополнительного вредоносного ПО.

Исследователи пока не установили точный вектор первичного проникновения, однако анализ показал, что вредоносный код доставляется через исполняемый файл OneDrive (onedrive.exe) с использованием техники DLL side-loading. Это позволяет запустить вредоносную библиотеку SSPICLI.dll, которая устанавливает VBA-бэкдор и отключает защиту макросов. Далее задействуются PowerShell-команды в Base64 для связи с командным сервером, закрепления в системе через реестр, включения выполнения макросов и отключения предупреждающих диалогов Outlook.

NotDoor реализован как запутанный VBA-проект, использующий события Application.MAPILogonComplete и Application.NewMailEx, что обеспечивает его срабатывание при каждом запуске Outlook или получении нового письма. Вредонос создаёт папку %TEMP%\Temp, где временно сохраняет текстовые файлы с украденными данными перед их отправкой на почтовый ящик Proton Mail. Входящие сообщения анализируются на наличие триггерных строк, например «Daily Report», после чего извлекаются команды для выполнения.

Функционал бэкдора поддерживает четыре типа команд:

• cmd — выполнение команд с возвратом результата во вложении письма

• cmdno — выполнение команд без отчёта

• dwn — кража файлов с отправкой их в письмах

• upl — загрузка файлов на машину жертвы

Файлы шифруются собственным алгоритмом, передаются злоумышленникам и затем удаляются, чтобы скрыть следы.

Открытие этой кампании совпало с публикацией 360 Threat Intelligence Center, которая зафиксировала активность другой российской группы — Gamaredon. Она использует сервис Telegraph (принадлежащий Telegram) как «drop zone» для передачи адресов C2-инфраструктуры, а также Microsoft Dev Tunnels для сокрытия реальных серверов управления. Такая техника маскирует IP-адреса, позволяет быстро менять доменные имена и использовать доверенный трафик облачных сервисов, обеспечивая почти нулевую заметность операций.

Дополнительно злоумышленники прибегают к использованию поддельных доменов Cloudflare Workers для распространения вредоносных скриптов, таких как PteroLNK, которые могут заражать другие компьютеры через USB-накопители и скачивать дополнительные полезные нагрузки. Аналитики отмечают высокий уровень подготовки: задействованы несколько уровней обфускации, устойчивое закрепление в системе и эксплуатация облачных сервисов для достижения полной скрытности.

В отдельном отчёте от 5 сентября 2025 года специалисты Kroll также подтвердили активность NotDoor в рамках кибершпионской кампании против неназванной организации. Их команда отслеживает этот кластер под названием KTA007, а сам бэкдор обозначен как GONEPOSTAL. Эксперты подчёркивают, что злоумышленники используют принцип «living off the land» — задействуют привычные бизнес-инструменты и методы коммуникации для управления атаками, что делает обнаружение чрезвычайно сложным.

По мнению специалистов, подобные кампании становятся всё более опасными, так как они не полагаются на громоздкие инструменты или редкие уязвимости, а используют легитимные каналы связи и сервисы, встроенные в корпоративную инфраструктуру. Это делает Outlook, OneDrive и облачные инструменты не только удобными для работы, но и уязвимыми в руках профессиональных атакующих.

Берегите себя и своих нервы.