Rus APT grubu APT28, NATO üyesi ülkelerdeki çeşitli sektörlerde faaliyet gösteren şirketlere yönelik yeni bir Microsoft Outlook arka kapısı olan NotDoor’u kullanıyor. İspanyol siber güvenlik firması S2 Grupo’nun LAB52 ekibi, NotDoor’un Outlook için geliştirilmiş, belirli tetikleyici kelimeleri izleyen bir VBA makrosu olduğunu açıkladı. Bu makro, tespit edilen e-postalar üzerinden veri sızdırma, dosya yükleme ve komut çalıştırma gibi işlemleri gerçekleştiriyor.
NotDoor’un Teknik Detayları ve Dağıtım Yöntemi
NotDoor, Microsoft OneDrive’ın yürütülebilir dosyası “onedrive.exe” üzerinden DLL yan yükleme tekniğiyle dağıtılıyor. Bu süreçte kötü amaçlı “SSPICLI.dll” dosyası çalıştırılarak VBA arka kapısı kuruluyor ve makro güvenlik önlemleri devre dışı bırakılıyor. Saldırganlar Base64 kodlu PowerShell komutlarıyla kalıcılık sağlamak, makro yürütmeyi aktif hale getirmek ve Outlook diyaloglarını kapatarak tespit edilmekten kaçınmak için çeşitli yöntemler kullanıyor.
Çalışma Mantığı ve Komut Seti
NotDoor, Outlook’un Application.MAPILogonComplete ve Application.NewMailEx olaylarını kullanarak her açılışta veya yeni e-posta geldiğinde çalışıyor. %TEMP% dizininde bir klasör oluşturarak operasyon sırasında oluşturulan dosyaları burada depoluyor ve bu dosyaları Proton Mail adresine iletiyor. Gelen e-postalarda “Daily Report” gibi tetikleyici ifadeleri arayarak gömülü komutları yürütüyor. Desteklenen komutlar arasında komut çalıştırma, dosya sızdırma ve dosya yükleme yer alıyor.
APT28’in Gelişmiş Operasyonları ve Altyapı Kötüye Kullanımı
APT28, Microsoft Dev Tunnels servisini C2 altyapısı için kullanarak IP adreslerini gizliyor ve alan adlarını hızlıca değiştirerek altyapısını koruyor. Ayrıca, sahte Cloudflare Workers alan adları üzerinden Visual Basic Script benzeri PteroLNK dağıtımı yapıyor. Bu script, bağlı USB sürücülere kendini kopyalayarak yayılabiliyor. Pekin merkezli 360 Threat Intelligence Center, bu saldırı zincirinin dört katmanlı gizleme teknikleriyle tamamen gizli bir operasyon yürüttüğünü belirtiyor.
Güncel İzlenimler ve Tehdit İstihbaratı
Kroll’un 5 Eylül 2025 tarihli raporuna göre, NotDoor kötü amaçlı yazılımı isimsiz bir hedefe yönelik siber casusluk kampanyasında gözlemlendi. KTA007 olarak adlandırılan bu kampanya, yaygın iş araçları ve iletişim yöntemlerini komut ve kontrol için kullanarak tespiti zorlaştırıyor. Araştırmacılar, bu yöntemi “living-off-the-land” yaklaşımının başarılı bir örneği olarak değerlendiriyor.