GONEPOSTAL: SSPICLI.dll и VBA бэкдор в Microsoft Outlook

Актор Fancy Bear разработал сложный шпионский набор под названием GONEPOSTAL, цель которого — обеспечить устойчивый бэкдорный доступ к почтовому приложению Microsoft Outlook. В отчёте описаны ключевые компоненты и техники, которые позволяют вредоносному ПО внедряться в среду Outlook и обходить стандартные механизмы обнаружения.

Краткое содержание

• Основной компонент — неподписанная библиотека SSPICLI.dll, маскирующаяся под легитимную библиотеку Microsoft.
• Рядом обнаружен дополнительный бинарный файл tmp7EC9.dll, облегчающий эксплуатацию.
• Атака эксплуатирует настройки реестра, в частности LoadMacroProviderOn и PONT_STRING, чтобы обеспечить автоматическое выполнение макросов и подавить предупреждения.
• Центральный элемент бэкдора — файл VBAProject.OTM с защищёнными и обфусцированными макросами VBA.

Ключевые компоненты и их роль

• SSPICLI.dll — неподписанная DLL, которая маскируется под официальную библиотеку с таким же именем; выполняет роль загрузочного компонента бэкдора.
• tmp7EC9.dll — вспомогательный файл рядом с SSPICLI.dll, повышающий устойчивость и успешность атаки.
• VBAProject.OTM — файл макросов Outlook; содержит Visual Basic макросы, защищённые паролем и дополнительно запутанные/скремблированные для затруднения анализа.

Механизм атаки

Атака сочетает в себе DLL-маскировку и эксплуатацию механизма запуска макросов в Outlook. Ключевые моменты:

• Использование неподписанных бинарных модулей с названиями, идентичными системным библиотекам, что позволяет обмануть процесс загрузки и внедриться в рабочий процесс приложения.
• Манипуляция параметрами реестра: включение поставщиков макросов через LoadMacroProviderOn, что обеспечивает автоматический запуск встроенных макросов при старте Outlook.
• Установка PONT_STRING в значение 32, что подавляет диалоговые предупреждения о загружаемом контенте и уменьшает вероятность обнаружения пользователем.
• Макросы в VBAProject.OTM защищены паролем и подвергнуты обфускации — скремблированию строк и символов — чтобы усложнить анализ и обратную разработку; однако такая защита не является непреодолимой и часто обходится инструментами hex/text-редактирования.

«GONEPOSTAL использует различные вредоносные компоненты и методы в среде Microsoft Outlook для установления постоянного доступа», — отмечается в отчёте.

Почему это опасно

Комбинация подмены библиотек, подавления диалогов безопасности и встроенных макросов даёт злоумышленнику возможность:

• добраться до почтового клиента на привилегированной стадии запуска,
• установить долгоживущий бэкдор, остающийся вне зоны стандартных детекций,
• затруднить анализ вредоносной логики за счёт паролирования и обфускации макросов.

Рекомендации по защите

Для снижения риска компрометации рекомендуется:

• проверить наличие файлов SSPICLI.dll и tmp7EC9.dll в профилях пользователей и в каталогах, откуда загружаются DLL;
• аудитировать и контролировать значения реестра, в частности ключи LoadMacroProviderOn и PONT_STRING;
• запретить автоматическое исполнение макросов через групповые политики и разрешать только подписанные макросы;
• внедрить контроль целостности исполняемых модулей и проверку цифровых подписей для критичных DLL;
• использовать EDR и антивирусные решения, способные обнаруживать поведенческие индикаторы загрузки неподписанных библиотек и необычную активность Outlook;
• провести аудит и анализ файлов VBAProject.OTM на предмет скрытых макросов, при необходимости — изолировать подозрительные почтовые профили.

Вывод

GONEPOSTAL демонстрирует, как сочетаются несколько техник — маскировка DLL, эксплуатация реестра и обфусцированные макросы — чтобы обеспечить скрытую и устойчивую компрометацию Outlook. Организациям и специалистам по кибербезопасности следует пересмотреть политики управления макросами и контроля загрузки библиотек, а также усилить мониторинг и реакции на подобные сложные векторы атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.