logo 5ip
Kontakt

APT28 Wdraża Nowy Backdoor „NotDoor” – Bezpośrednie Zagrożenie dla Firm krajów NATO

Rosyjska grupa hakerska APT28 (Fancy Bear), działająca na zlecenie wywiadu wojskowego GRU, wprowadziła wysoce zaawansowane narzędzie szpiegowskie „NotDoor”, które wykorzystuje Microsoft Outlook jako kanał komunikacyjny do niepostrzeżonego dostępu do systemów firm z krajów NATO. Ten atak reprezentuje nowy poziom wyrafinowania w operacjach cyberszpiegowskich wymierzonych bezpośrednio przeciwko infrastrukturze krytycznej Zachodu. 

Czym Jest NotDoor i Jak Działa 
NotDoor to backdoor oparty na makrach VBA dla programu Outlook, zaprojektowany do monitorowania przychodzących wiadomości e-mail w poszukiwaniu określonych słów-kluczy. Kluczową cechą tego malware’u jest jego zdolność do ukrywania się w legitymnych procesach biznesowych – wykorzystuje standardową komunikację e-mailową jako kanał command-and-control. 

Mechanizm Infekcji 
Malware jest dostarczany poprzez spreparowany plik OneDrive.exe, wykorzystując technikę DLL side-loading. Proces ten obejmuje: 

  • Początkową infekcję: złośliwa biblioteka SSPICLI.dll jest ładowana zamiast legitymnej, instalując backdoor w Outlook 
  • Wyłączenie zabezpieczeń: system automatycznie dezaktywuje wszystkie ostrzeżenia bezpieczeństwa makr i dialogi systemowe 
  • Trwałą obecność: malware modyfikuje rejestry Windows i aktywuje się przy każdym uruchomieniu Outlook oraz przy każdej nowej wiadomości 

Zdalne Sterowanie 
NotDoor monitoruje wszystkie przychodzące e-maile w poszukiwaniu określonych słów-kluczy, takich jak „Daily Report”. Po wykryciu triggera, malware wykonuje cztery typy poleceń: 

  • cmd/cmdno: wykonywanie dowolnych poleceń systemowych 
  • dwn: kradzież plików z komputera ofiary 
  • upl: wgrywanie złośliwych plików 
    Wszystkie skradzione dane są eksfiltrowane na konto [email protected], po czym ślady są automatycznie usuwane. 

Kontekst Zagrożenia: Unit 26165 GRU 
APT28 to nie przypadkowa grupa cyberprzestępców – to Unit 26165 rosyjskiego GRU, który prowadzi operacje szpiegowskie najwyższego poziomu od 2008 roku. Od rozpoczęcia inwazji na Ukrainę w 2022 roku, Unit 26165 intensyfikuje działania przeciwko firmom logistycznym i technologicznym NATO wspierającym dostawy pomocy dla Ukrainy. 
Ta sama jednostka odpowiada za: 

  • Hakowanie wyborów w USA w 2016 roku 
  • Ataki na German Bundestag w 2015 roku 
  • Kampanię przeciwko firmom wspierającym Ukrainę od 2022 roku 
  • Ostatni malware „LameHug” wykorzystujący sztuczną inteligencję 

Dlaczego Outlook Jest Głównym Celem 
E-mail stanowi serce każdej organizacji biznesowej, przepływa przez niego większość krytycznych informacji. Outlook z makrami VBA oferuje atakującym idealne środowisko operacyjne: 
✅ Dostęp do całej komunikacji – przychodzących i wychodzących wiadomości 
✅ Niepostrzeżoną komunikację – wykorzystanie legitymnych kanałów biznesowych 
✅ Trwałą obecność – automatyczna aktywacja z każdą nową wiadomością 
✅ Obejście zabezpieczeń – wykorzystanie zaufanych aplikacji Microsoft 

Natychmiastowe Działania Obronne 
Audyt i Wyłączenie Makr VBA 
Priorytet 1: natychmiastowe sprawdzenie wszystkich istniejących makr VBA w organizacji i domyślne wyłączenie ich dla wszystkich użytkowników. Microsoft domyślnie blokuje makra z internetu, ale organizacje muszą dodatkowo zabezpieczyć wewnętrzne systemy. 

Wdrożenie AMSI (Antimalware Scan Interface) 
Włączenie skanowania runtime wszystkich makr VBA poprzez AMSI jest kluczowe. Ta technologia pozwala na: 

  • wykrywanie złośliwych zachowań makr w czasie rzeczywistym 
  • prześwietlanie zaciemnionego kodu na poziomie wykonania 
  • monitorowanie wywołań COM i Win32 API przez makra 

Attack Surface Reduction (ASR) Rules 
Wdrożenie reguł ASR w Windows Defender, szczególnie: 

  • „Block all Office applications from creating child processes” – blokuje wykonywanie zewnętrznych procesów przez aplikacje Office 
  • „Block Win32 API calls from Office macros” – ogranicza dostęp makr do systemowych API 
  • „Block Office applications from creating executable content” – zapobiega tworzeniu plików wykonywalnych 

Office 365 Advanced Threat Protection 
Aktywacja Safe Attachments i Safe Links w Office 365 ATP/Defender for Office 365: 

  • Safe Attachments skanuje załączniki w wirtualnym środowisku przed dostarczeniem 
  • Safe Links weryfikuje URL-e w czasie kliknięcia 
  • Quarantine podejrzanych załączników zawierających makra 

Strategiczne Zabezpieczenia Długoterminowe 
Zero Trust Architecture 
Implementacja architektury Zero Trust z segmentacją sieci, odizolowaniem systemów z makrami od krytycznej infrastruktury oraz wymaganiem wieloczynnikowej autoryzacji dla dostępu do systemów poczty elektronicznej. 

Immutable Backup Strategy 
Wdrożenie niezmiennych kopii zapasowych całego systemu poczty e-mail z air-gapped storage, umożliwiających szybkie odtworzenie systemu po kompromitacji. 

Continuous Monitoring 
Monitorowanie nietypowej aktywności w procesach outlook.exe i onedrive.exe, szczególnie: 

  • nieoczekiwane połączenia sieciowe 
  • modyfikacje rejestrów związanych z makrami 
  • tworzenie plików w folderach %TEMP% 

Dlaczego To Zagrożenie Wymaga Natychmiastowej Reakcji 
NotDoor reprezentuje fundamentalną zmianę w rosyjskich operacjach cyberszpiegowskich. To nie jest przypadkowy atak ransomware – to celowana operacja wywiadowcza Unit 26165 GRU mająca na celu: 

  • kradzież tajemnic handlowych i technicznych planów firm NATO 
  • długoterminowe szpiegostwo przemysłowe z dostępem do krytycznych informacji biznesowych 
  • monitorowanie wsparcia dla Ukrainy i identyfikację łańcuchów dostaw pomocy wojskowej 
  • destabilizację gospodarczą poprzez kompromitację kluczowych firm technologicznych 

Jedno nieostrożne działanie może oznaczać miesiące lub lata niepostrzeżonego dostępu rosyjskiego wywiadu do najważniejszych danych organizacji. 

Profesjonalna Ochrona Przed APT28 
Firma 5ip specjalizuje się w ochronie przed zaawansowanymi zagrożeniami państwowymi takimi jak NotDoor. Nasz zespół ekspertów: 
✅ przeprowadza kompleksowe audyty zabezpieczeń makr VBA i konfiguracji Office 365/Microsoft 365 
✅ wdraża zaawansowane systemy wykrywania APT, AMSI oraz Attack Surface Reduction rules 
✅ monitoruje zagrożenia 24/7 z fokusem na grupy nation-state i ich najnowsze techniki 
✅ szkoli zespoły IT z rozpoznawania operacji social engineering wykorzystywanych przez Unit 26165 
✅ oferuje wsparcie incydentalne w przypadku kompromitacji oraz szybkie odtwarzanie systemów 

 Skontaktuj się z 5ip – przeprowadzimy ekspresową ocenę Twoich zabezpieczeń przed NotDoor i wdrożymy skuteczną ochronę przed operacjami APT28. 

Zacznij od audytu

Chcesz osiągnąć podobne wyniki? Umów się na bezpłatną konsultację i zrób pierwszy krok w kierunku osiągnięcia swoich celów.
Napisz do nas

Czy wykorzystujesz już pełny potencjał swojego IT?

Umów się na darmową konsultację i przekonaj się:

  • Jak działają nasze rozwiązania IT
  • W jaki sposób możesz zaoszczędzić czas i koszty
  • Co odróżnia nas od innych dostawców na rynku
Krzysztof Gregorczuk

Krzysztof Gregorczuk

Growth Manager

+48 607 560 581
[email protected]
Umów spotkanie
Zgoda na kontakt*
logo 5ip

Adres

5ip sp. z o. o.
Augustów (16-300),
ul. J. Chreptowicza 13 lok. 11

Dane rejestrowe

NIP: 8461669811
REGON: 389706247
KRS: 0000916618

Usługi IT

Zarządzanie serwerami Zarzadzanie stacjami roboczymi Zarzadzanie pracą grupową Bezpieczeństwo danych Zabezpieczenie punktów końcowych Zarzadzanie siecią Zabezpieczenie sieci

Mapa strony

Audyty IT Realizacje Blog O nas Portal Klienta Polityka prywatności Kontakt

Linki

2025 © 5ip.eu | Wszystkie prawa zastrzeżone