俄罗斯 APT28 部署新型 “NotDoor” Outlook 后门,锁定北约国家企业|谷歌紧急修复安卓0day漏洞!
网络攻击
网络安全公司 S2 Grupo(LAB52 威胁情报团队) 披露,俄罗斯国家支持的黑客组织 APT28(又称 Fancy Bear)近期在针对多个北约成员国企业的攻击中,使用了一种名为 NotDoor 的新型后门程序。
利用 Outlook 作为隐蔽通道
LAB52表示,NotDoor 是一个专门针对 Microsoft Outlook 的 VBA 宏后门,能够监控邮件内容,当检测到特定关键词时触发执行。攻击者可借此:
该后门之所以命名为 “NotDoor”,源于其源码中反复使用的 “Nothing” 一词。研究人员指出,这一活动凸显了 Outlook 被黑客滥用为 隐蔽的通信、数据渗漏及恶意代码投递渠道。
攻击链分析
尽管初始入侵手法尚不明确,但调查显示该恶意软件借助 Microsoft OneDrive 可执行文件(onedrive.exe) 进行 DLL 旁加载攻击,进而运行恶意 DLL(SSPICLI.dll),安装 VBA 后门并关闭宏安全防护。
攻击流程包括:
-
执行 Base64 编码的 PowerShell 命令;
-
向攻击者控制的 webhook[.]site 信标通信;
-
修改注册表以建立持久化;
-
关闭 Outlook 警告弹窗以规避检测。
后门被设计为高度混淆的 VBA 工程,利用 Application.MAPILogonComplete 与 Application.NewMailEx 两个事件,在每次 Outlook 启动或新邮件到达时执行载荷。
此外,它会在 %TEMP%\Temp 路径下建立隐藏目录,存储运行过程中生成的 TXT 文件,并将其通过 Proton Mail 邮箱外传。黑客可在邮件中嵌入诸如 “Daily Report” 的触发词,令其解析并执行嵌入命令。
后门支持的指令
NotDoor 具备四类核心功能:
-
cmd:执行命令并将结果作为附件回传;
-
cmdno:静默执行命令;
-
dwn:窃取文件并通过邮件附件外传;
-
upl:向受害机投递文件。
LAB52 指出,所有被窃取的文件均经过自定义加密,再通过邮件发送,随后从本地系统删除。
背景与更广泛趋势
该披露恰逢 奇安信 360 威胁情报中心 发布另一份报告,揭示 Gamaredon(APT-C-53) 在近期攻击中利用 Telegram 旗下 Telegraph 平台作为“死投递点”来隐藏 C2(命令与控制)基础设施。
报告还指出,攻击者滥用 Microsoft Dev Tunnels(devtunnels.ms) 作为 C2 通道,以掩盖真实服务器 IP,并凭借服务可频繁刷新域名的特性,实现快速切换基础设施,从而维持 接近零暴露的持续攻击活动。
更复杂的攻击链还涉及伪造的 Cloudflare Workers 域名,用于分发 VBScript(如 PteroLNK),该脚本可自我传播至连接的 U 盘设备并下载更多恶意载荷。
360 总结称,这一攻击链展现了高度定制化设计,结合 注册表持久化、动态编译、路径伪装以及云服务滥用 四重混淆手法,实现了从初始植入到数据外传的全流程隐匿操作。
关键词
谷歌昨天发布了 2025 年 9 月 Android 安全公告,为 AOSP 系统 13-16 版本修复了多项高危漏洞。
谷歌表示,本次 9 月安全补丁累计修复 84 个漏洞,有两项已被黑客积极利用,分别为 CVE-2025-38352 和 CVE-2025-48543,其中前者涵盖内核提权漏洞,后者涵盖运行时缺陷,可让恶意应用绕过沙盒防护机制并访问系统底层。
谷歌后续确认这两项漏洞都能在用户没有操作、无特殊权限的情况下本地提权,但公司并未披露攻击细节,也没有说明漏洞是否已被链式利用。
此外,本次的 9 月补丁还修复了信息泄露、远程代码执行等漏洞,并修正了高通、联发科、ARM、Imagination 等组件的问题;同时还修复了 CVE-2025-48539 漏洞,这个漏洞是可让攻击者在设备蓝牙或 Wi-Fi 覆盖范围内执行恶意代码,无需用户交互或特殊权限。
本次补丁将覆盖 AOSP 系统 13-16 版本,对应构建日期为 2025-09-01 和 2025-09-05,谷歌已为 Pixel 系列手机和 AOSP 代码推送更新,其他下游厂商也将很快发布对应版本补丁更新。
文章来源 :安全圈
官方 