Um dos grupos de hackers mais conhecidos do mundo voltou a ganhar destaque com uma nova ameaça direcionada a empresas estratégicas em países da OTAN. O APT28, também chamado de Fancy Bear ou Strontium, lançou uma campanha de espionagem sofisticada que explora uma ferramenta amplamente usada no dia a dia corporativo: o Microsoft Outlook.
A peça central dessa operação é o backdoor NotDoor, um malware projetado para se infiltrar em sistemas e transformar o e-mail corporativo em um canal secreto de controle e espionagem. Neste artigo, vamos explicar como essa ameaça funciona, desde o processo inicial de infecção até a execução de comandos maliciosos, e o que ela significa para a segurança digital de empresas e governos.
O uso de softwares de confiança como vetor de ataque mostra não apenas a criatividade técnica do APT28, mas também o impacto geopolítico de suas ações. Ao mirar diretamente em organizações da OTAN, o grupo reforça o papel da ciberespionagem em conflitos modernos.
O que é o APT28 e por que ele é uma ameaça constante?
O APT28 é um grupo de ciberespionagem patrocinado pelo Estado russo e ativo há mais de uma década. Também conhecido como Fancy Bear ou Strontium, ele já foi vinculado a diversos ataques contra governos, organizações militares, empresas de mídia e instituições de pesquisa.
Entre seus ataques mais conhecidos estão a invasão ao Comitê Nacional Democrata dos EUA em 2016 e operações contra parlamentos e ministérios da Defesa europeus. O grupo é notório por sua capacidade de criar malwares customizados, explorar vulnerabilidades e abusar de ferramentas legítimas para se manter invisível dentro dos sistemas.
A chegada do NotDoor reforça essa reputação, mostrando como o APT28 evolui constantemente suas táticas para evitar detecção e aumentar o alcance de suas operações.
NotDoor: o backdoor que vive dentro do seu e-mail
O backdoor NotDoor é um malware desenvolvido para se integrar ao Microsoft Outlook, monitorar mensagens recebidas e estabelecer um canal discreto de comunicação com os atacantes.
Diferente de muitos malwares que usam servidores de comando e controle tradicionais, o NotDoor aproveita a própria estrutura do Outlook para receber instruções escondidas em e-mails e exfiltrar dados sem chamar a atenção.
A engenhosa cadeia de infecção inicial
O ataque começa com uma técnica conhecida como DLL side-loading, que consiste em carregar uma biblioteca maliciosa (DLL) através de um programa legítimo. Nesse caso, os invasores utilizam o executável oficial do OneDrive (onedrive.exe) como isca.
Quando o sistema executa o OneDrive, ele carrega também a DLL manipulada pelo APT28, que instala o NotDoor sem levantar suspeitas. Essa abordagem é eficaz porque tira proveito da confiança em softwares de uso comum, dificultando a detecção por antivírus tradicionais.
Como o malware se comunica de forma invisível
Uma vez dentro do sistema, o NotDoor ativa macros VBA integradas ao Outlook. Essas macros entram em ação sempre que o programa é iniciado ou quando um novo e-mail chega à caixa de entrada.
O malware analisa os e-mails recebidos em busca de palavras-chave específicas — como “Relatório Diário” — que servem como gatilho para executar os comandos enviados pelos atacantes. Essa técnica permite que o controle do backdoor seja feito através de mensagens aparentemente inofensivas, sem gerar tráfego de rede suspeito.
Os comandos do invasor: controle total sobre a máquina
O NotDoor reconhece quatro comandos principais, cada um com funções críticas para os atacantes:
- cmd: executa comandos arbitrários no sistema da vítima.
- cmdno: roda comandos sem exibir resultados, ideal para tarefas furtivas.
- dwn: baixa arquivos da internet para infectar ainda mais a máquina.
- upl: faz upload de arquivos da vítima para os servidores controlados pelo APT28.
Na prática, esses comandos dão ao grupo controle total sobre os dispositivos comprometidos, permitindo desde a espionagem até a implantação de outros malwares.
A tendência de abusar de serviços legítimos para ataques
O caso do NotDoor não é isolado. Outros grupos de ciberespionagem, como o Gamaredon, também têm explorado serviços legítimos para mascarar suas atividades.
Esses adversários vêm utilizando plataformas como Telegraph, Microsoft Dev Tunnels e Cloudflare Workers para hospedar ou redirecionar cargas maliciosas. Essa estratégia dificulta a detecção porque o tráfego de rede parece legítimo, confundindo sistemas de defesa que confiam nesses provedores.
O abuso de serviços confiáveis representa uma evolução perigosa no cenário de ameaças, pois aumenta a resiliência dos ataques e amplia o tempo que os hackers conseguem permanecer dentro dos sistemas sem serem descobertos.
Como se proteger do NotDoor e de ameaças semelhantes
A ameaça representada pelo backdoor NotDoor mostra como grupos avançados podem transformar ferramentas essenciais de trabalho em armas de espionagem. A defesa contra esses ataques exige uma combinação de tecnologia, políticas de segurança e conscientização.
Aqui estão algumas medidas práticas:
- Controle rigoroso de macros VBA: desabilite ou restrinja o uso de macros em aplicativos do Microsoft Office, permitindo apenas em casos absolutamente necessários.
- Treinamento de conscientização: eduque funcionários para reconhecer riscos de e-mails suspeitos e a importância de seguir protocolos de segurança.
- Uso de EDR (Endpoint Detection and Response): essas soluções detectam atividades anômalas, como DLL side-loading, oferecendo camadas adicionais de proteção.
- Atualizações frequentes: mantenha o Microsoft Office, o Windows e demais softwares sempre atualizados para fechar brechas exploradas por atacantes.
- Políticas de monitoramento: estabeleça auditorias e revisões constantes de logs de e-mail e sistemas críticos.
Chamada à ação: Revise agora as políticas de segurança de macros da sua organização e compartilhe este alerta com sua equipe de TI para fortalecer suas defesas contra o NotDoor e ameaças semelhantes.
