Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

APT28 setzt auf neue Outlook-Backdoor „NotDoor“ : Russische Hackergruppe attackiert NATO-Unternehmen mit VBA-Makros

Die russische Hackergruppe APT28 hat eine neue Hintertür in Microsoft Outlook entwickelt. Unter dem Namen „NotDoor“ ermöglicht sie Spionage, Datenabfluss und Remote-Befehle über reguläre E-Mail-Kommunikation. Angriffe richten sich gezielt gegen Unternehmen in NATO-Mitgliedsstaaten.

THN/Stefan Mutschler (freier Journalist)BedrohungenSecurity-Management
Lesezeit 2 Min.

APT28, auch bekannt als Fancy Bear, zählt zu den bekanntesten staatlich unterstützten Hackergruppen Russlands. Sicherheitsexperten der LAB52-Labore von S2 Grupo haben nun eine neuartige Outlook-Backdoor entdeckt, die auf den Namen „NotDoor“ getauft wurde. Die Schadsoftware nutzt ein Visual-Basic-for-Applications-Makro, um Outlook-Nachrichten auf bestimmte Schlüsselwörter zu überwachen und so gezielte Befehle des Angreifers zu empfangen.

Funktionsweise von NotDoor

Die Malware zeichnet sich durch die clevere Nutzung der Outlook-Architektur aus:

  • NotDoor ist als verschleiertes Visual-Basic-for-Applications-Projekt für Microsoft Outlook konzipiert. Es bindet sich an die Ereignisse Application.MAPILogonComplete und Application.NewMailEx. Dadurch wird die Payload sowohl beim Start von Outlook als auch beim Eintreffen jeder neuen E-Mail automatisch geladen und ausgeführt.
  • Angreifer können dadurch Befehle einschleusen, Daten abziehen oder Dateien auf infizierte Systeme hochladen.
  • Dateien werden im Verzeichnis %TEMP%\Temp zwischengespeichert, verschlüsselt und anschließend per E-Mail – unter anderem an Proton Mail – exfiltriert. Die Schadsoftware durchsucht zudem eingehende Nachrichten nach einem bestimmten Auslöser, etwa dem Begriff „Daily Report“. Wird dieser erkannt, extrahiert sie die darin eingebetteten Befehle und führt sie aus.

Unterstützte Kommandos:

  • cmd: Befehle ausführen und Ausgabe per E-Mail zurücksenden
  • cmdno: Befehle ohne Rückgabe ausführen
  • dwn: Dateien vom Opfer-System exfiltrieren
  • upl: Dateien auf das Opfer-System hochladen

Infektionskette und Persistenz

Der genaue initiale Angriffsvektor ist derzeit nicht bekannt, aber Analysen zeigen, dass die Auslieferung über die missbräuchliche Nutzung von onedrive.exe durch sogenanntes DLL Side-Loading erfolgt. Hierbei wird eine manipulierte Bibliothek namens SSPICLI.dll eingeschleust, welche die Backdoor installiert. Das Hinterhältige daran: Die Malware deaktiviert die Sicherheitsfunktionen für Makros und tarnt sich durch Base64-verschlüsselte PowerShell-Befehle. Persistenz wird durch Änderungen in der Windows-Registrierung erreicht, die zudem Outlook-Meldungen unterdrücken, um eine Entdeckung zu erschweren.

Outlook als verdeckter Angriffsvektor

Mit NotDoor zeigt sich erneut, wie Angreifer alltägliche Business-Anwendungen missbrauchen, um unter dem Radar zu bleiben. Outlook wird hier gleichzeitig als Kommunikationskanal, Datenabflussweg und Malware-Transportmittel eingesetzt.

Erweiterte Angriffslandschaft

Die Veröffentlichung fällt zeitlich zusammen mit einer Analyse des in Peking ansässigen 360 Threat Intelligence Center. Dieses berichtet über weitere Entwicklungen im Umfeld staatlich unterstützter Gruppen:

  • Die ukrainische Gruppe Gamaredon (APT-C-53) nutzt Telegram Telegraph als Dead-Drop-Resolver für Command-and-Control-Infrastrukturen.
  • Angreifer missbrauchen Microsoft Dev Tunnels, um ihre Server hinter legitimen Cloud-Infrastrukturen zu verbergen und so Rückverfolgungen zu erschweren.
  • Über Cloudflare Workers werden zusätzliche Malware-Komponenten wie „PteroLNK“ verteilt, die sich über USB-Geräte weiterverbreiten können.

Einschätzung von Experten

Kroll berichtete in einer Analyse vom 5. September 2025, dass die Schadsoftware NotDoor bei einer Cyberspionagekampagne gegen ein nicht näher genanntes Ziel eingesetzt wurde. Die Sicherheitsexperten des Beratungsunternehmens verfolgen die Angreifergruppe unter dem Namen KTA007 und bezeichnen die Schadsoftware als GONEPOSTAL. Sie sehen in der Malware eine raffinierte Form des „Living-off-the-Land“-Ansatzes. Dabei werden legitime Dienste und Anwendungen wie Outlook, OneDrive oder Cloud-Infrastrukturen gezielt missbraucht, um Angriffe unauffällig und langfristig durchzuführen.

Fazit

NotDoor verdeutlicht, wie geschickt APT28 alltägliche Arbeitsumgebungen unterwandert. Für Unternehmen in NATO-Staaten steigt damit die Gefahr von unbemerkten Spionageangriffen erheblich. Sicherheitsverantwortliche müssen Outlook und Cloud-Dienste künftig stärker in ihre Überwachung einbeziehen – sonst wird der Posteingang zur Hintertür für Cyberangriffe.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.