Grupo de hackers russo APT28 usa backdoor NotDoor no Outlook

BR Defense Center (By River de Morais e Silva)
malware

O grupo de hackers patrocinado pelo Estado russo, conhecido como APT28, foi associado a um novo backdoor no Microsoft Outlook, denominado NotDoor, que tem como alvo diversas empresas em países membros da OTAN. Segundo a equipe de inteligência de ameaças LAB52, o NotDoor é um macro VBA que monitora e-mails recebidos em busca de uma palavra-chave específica. Ao detectar um e-mail com essa palavra, o malware permite que o atacante exfiltre dados, faça upload de arquivos e execute comandos no computador da vítima.

O malware é implantado através do executável do OneDrive da Microsoft, utilizando uma técnica chamada DLL side-loading. Isso resulta na execução de uma DLL maliciosa que instala o backdoor e desativa as proteções de segurança de macros. O NotDoor utiliza comandos codificados em Base64 para se comunicar com um servidor controlado pelo atacante, além de criar um diretório temporário para armazenar arquivos que serão exfiltrados para um endereço de e-mail no Proton Mail. O ataque destaca o uso abusivo do Outlook como um canal para comunicação furtiva e entrega de malware, representando um risco significativo para a segurança das informações das empresas afetadas.

Fonte: https://thehackernews.com/2025/09/russian-apt28-deploys-notdoor-outlook.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
04/09/2025 • Risco: ALTO
MALWARE

Grupo de hackers russo APT28 usa backdoor NotDoor no Outlook

RESUMO EXECUTIVO
O NotDoor representa uma ameaça significativa, utilizando técnicas sofisticadas para comprometer sistemas e exfiltrar dados. A utilização de um canal de comunicação como o Outlook para tais atividades aumenta a urgência de ações de mitigação.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido à exfiltração de dados e interrupções operacionais.
Operacional
Exfiltração de dados e execução de comandos no sistema da vítima.
Setores vulneráveis
['Tecnologia', 'Finanças', 'Serviços']

📊 INDICADORES CHAVE

Uso de uma palavra-chave específica para ativação do malware. Indicador
Quatro comandos suportados pelo malware para execução. Contexto BR
Armazenamento de arquivos exfiltrados em um diretório temporário. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e atividades suspeitas no Outlook.
2 Desativar macros no Outlook e revisar políticas de segurança de e-mail.
3 Monitorar comunicações e atividades de rede relacionadas ao OneDrive e Outlook.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de suas comunicações e dados, especialmente em plataformas amplamente utilizadas como o Outlook. A exfiltração de dados pode resultar em perdas financeiras e danos à reputação.

⚖️ COMPLIANCE

Implicações para a LGPD, especialmente em relação à proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).