Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

GONEPOSTAL: SSPICLI.dll и VBA бэкдор в Microsoft Outlook

2
3 мин
Актор Fancy Bear разработал сложный шпионский набор под названием GONEPOSTAL, цель которого — обеспечить устойчивый бэкдорный доступ к почтовому приложению Microsoft Outlook. В отчёте описаны ключевые компоненты и техники, которые позволяют вредоносному ПО внедряться в среду Outlook и обходить стандартные механизмы обнаружения. Атака сочетает в себе DLL-маскировку и эксплуатацию механизма запуска макросов в Outlook. Ключевые моменты: «GONEPOSTAL использует различные вредоносные компоненты и методы в среде Microsoft Outlook для установления постоянного доступа», — отмечается в отчёте. Комбинация подмены библиотек, подавления диалогов безопасности и встроенных макросов даёт злоумышленнику возможность: Для снижения риска компрометации рекомендуется: GONEPOSTAL демонстрирует, как сочетаются несколько техник — маскировка DLL, эксплуатация реестра и обфусцированные макросы — чтобы обеспечить скрытую и устойчивую компрометацию Outlook. Организациям и специалистам по кибербезопасности следует
Оглавление

Актор Fancy Bear разработал сложный шпионский набор под названием GONEPOSTAL, цель которого — обеспечить устойчивый бэкдорный доступ к почтовому приложению Microsoft Outlook. В отчёте описаны ключевые компоненты и техники, которые позволяют вредоносному ПО внедряться в среду Outlook и обходить стандартные механизмы обнаружения.

Краткое содержание

  • Основной компонент — неподписанная библиотека SSPICLI.dll, маскирующаяся под легитимную библиотеку Microsoft.
  • Рядом обнаружен дополнительный бинарный файл tmp7EC9.dll, облегчающий эксплуатацию.
  • Атака эксплуатирует настройки реестра, в частности LoadMacroProviderOn и PONT_STRING, чтобы обеспечить автоматическое выполнение макросов и подавить предупреждения.
  • Центральный элемент бэкдора — файл VBAProject.OTM с защищёнными и обфусцированными макросами VBA.

Ключевые компоненты и их роль

  • SSPICLI.dll — неподписанная DLL, которая маскируется под официальную библиотеку с таким же именем; выполняет роль загрузочного компонента бэкдора.
  • tmp7EC9.dll — вспомогательный файл рядом с SSPICLI.dll, повышающий устойчивость и успешность атаки.
  • VBAProject.OTM — файл макросов Outlook; содержит Visual Basic макросы, защищённые паролем и дополнительно запутанные/скремблированные для затруднения анализа.

Механизм атаки

Атака сочетает в себе DLL-маскировку и эксплуатацию механизма запуска макросов в Outlook. Ключевые моменты:

  • Использование неподписанных бинарных модулей с названиями, идентичными системным библиотекам, что позволяет обмануть процесс загрузки и внедриться в рабочий процесс приложения.
  • Манипуляция параметрами реестра: включение поставщиков макросов через LoadMacroProviderOn, что обеспечивает автоматический запуск встроенных макросов при старте Outlook.
  • Установка PONT_STRING в значение 32, что подавляет диалоговые предупреждения о загружаемом контенте и уменьшает вероятность обнаружения пользователем.
  • Макросы в VBAProject.OTM защищены паролем и подвергнуты обфускации — скремблированию строк и символов — чтобы усложнить анализ и обратную разработку; однако такая защита не является непреодолимой и часто обходится инструментами hex/text-редактирования.
«GONEPOSTAL использует различные вредоносные компоненты и методы в среде Microsoft Outlook для установления постоянного доступа», — отмечается в отчёте.

Почему это опасно

Комбинация подмены библиотек, подавления диалогов безопасности и встроенных макросов даёт злоумышленнику возможность:

  • добраться до почтового клиента на привилегированной стадии запуска,
  • установить долгоживущий бэкдор, остающийся вне зоны стандартных детекций,
  • затруднить анализ вредоносной логики за счёт паролирования и обфускации макросов.

Рекомендации по защите

Для снижения риска компрометации рекомендуется:

  • проверить наличие файлов SSPICLI.dll и tmp7EC9.dll в профилях пользователей и в каталогах, откуда загружаются DLL;
  • аудитировать и контролировать значения реестра, в частности ключи LoadMacroProviderOn и PONT_STRING;
  • запретить автоматическое исполнение макросов через групповые политики и разрешать только подписанные макросы;
  • внедрить контроль целостности исполняемых модулей и проверку цифровых подписей для критичных DLL;
  • использовать EDR и антивирусные решения, способные обнаруживать поведенческие индикаторы загрузки неподписанных библиотек и необычную активность Outlook;
  • провести аудит и анализ файлов VBAProject.OTM на предмет скрытых макросов, при необходимости — изолировать подозрительные почтовые профили.

Вывод

GONEPOSTAL демонстрирует, как сочетаются несколько техник — маскировка DLL, эксплуатация реестра и обфусцированные макросы — чтобы обеспечить скрытую и устойчивую компрометацию Outlook. Организациям и специалистам по кибербезопасности следует пересмотреть политики управления макросами и контроля загрузки библиотек, а также усилить мониторинг и реакции на подобные сложные векторы атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "GONEPOSTAL: SSPICLI.dll и VBA бэкдор в Microsoft Outlook".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Microsoft
32,8 тыс интересуются