Russische Hackergruppe greift Microsoft Outlook mit Malware an

Dienstag, 09.09.2025

Das Intelligence-Team von S2 Grupo hat eine neue Outlook-Backdoor entdeckt, die mit einer russischen Hackergruppe namens APT28 in Verbindung steht. Die Forscher erklärten, wie die Angreifer eine legitim signierte Binärdatei nutzen, um die Backdoor zu installieren, und anschließend eine schädliche Datei laden, um die Makro-Sicherheitsvorkehrungen zu deaktivieren. Sobald dies geschehen ist, wird das VBA-Makro in die Zielnetzwerke eingeschleust.

"APT28 nutzt Outlook als verdeckten Kanal über eine VBA-Makro-Backdoor namens NotDoor", erklärt Jason Soroko, Senior Fellow bei Sectigo. "Die Bereitstellung erfolgt über das DLL-Sideloading einer bösartigen SSPICLI.dll durch die signierte OneDrive.exe, um den Makroschutz zu deaktivieren und Befehle auszuführen. Das Makro überwacht eingehende E-Mails auf ein Triggerwort und kann Daten-Upload-Dateien exfiltrieren und Befehle ausführen. Dies verschmilzt mit vertrauenswürdigen Binärdateien und dem normalen E-Mail-Fluss und kann Perimeter-Tools und grundlegende Erkennungsmaßnahmen umgehen."

Die Untersuchung zeigt, wie APT28 kontinuierlich neue Artefakte entwickelt, die etablierte Abwehrmaßnahmen umgehen können. Casey Ellis, Gründer von Bugcrowd, kommentiert: "Dies ist eine bedeutende Entwicklung, die einige wichtige Punkte hervorhebt, die Unternehmen und Sicherheitsteams sofort angehen müssen. Die Verwendung von Microsoft Outlook als Vektor ist aufgrund seiner Allgegenwärtigkeit in Geschäftsumgebungen besonders besorgniserregend. Die Tatsache, dass APT28 Outlook-Makros als verdeckten Kommunikations- und Datenexfiltrationskanal nutzt, unterstreicht die Bedeutung der Absicherung von E-Mail-Systemen und Endpunkt-Abwehrmaßnahmen. Dabei geht es nicht nur darum, Schwachstellen zu patchen, sondern auch darum, zu erkennen, dass vertrauenswürdige Anwendungen wie Outlook auf eine Weise als Waffen eingesetzt werden können, die herkömmliche Abwehrmaßnahmen umgeht."

Ellis führt weiter aus: "Die Bereitstellungsmethode – DLL-Sideloading über eine legitime signierte Binärdatei wie OneDrive.exe – ist ein klassisches Beispiel dafür, wie Angreifer das Vertrauen in legitime Software ausnutzen. Dies unterstreicht die Notwendigkeit einer robusten Whitelist für Anwendungen und der Überwachung signierter Binärdateien auf anomales Verhalten. Sicherheitsteams sollten sich auch auf die Erkennung und Blockierung von PowerShell-Missbrauch konzentrieren, da verschlüsselte Base64-Befehle eine gängige Taktik zur Verschleierung und Ausführung sind."

Zum Schutz vor dieser Bedrohung stellten die Forscher potenzielle Indikatoren für Kompromittierungen (IOC) bereit, auf die Unternehmen achten können.

Darüber hinaus schlägt Soroko vor: "Sicherheitsteams sollten Outlook VBA deaktivieren und Makros aus dem Internet mit Gruppenrichtlinien blockieren. Aktivieren Sie die Microsoft Defender-Regeln zur Reduzierung der Angriffsfläche, die Office daran hindern, untergeordnete Prozesse zu erstellen, und Win32-API-Aufrufe von Makros blockieren. Sperren Sie das Laden von DLLs mit WDAC oder AppLocker, überwachen Sie OneDrive auf das Laden von SSPICLI.dll außerhalb vertrauenswürdiger Pfade, suchen Sie nach Outlook oder OneDrive, die PowerShell mit verschlüsselten Befehlen starten, und beschränken Sie den Datenausgang, während Sie den Datenverkehr zu webhook.site und ungewöhnliche nslookup-Aktivitäten melden."

Ellis fügt hinzu: "Für Unternehmen ist es wichtig, sicherzustellen, dass die Ausführung von Makros wo immer möglich deaktiviert ist, insbesondere in E-Mail-Clients wie Outlook. Microsoft hat zwar große Fortschritte bei der standardmäßigen Absicherung von Makros gemacht, aber dieser Angriff zeigt, dass diese Abwehrmaßnahmen immer noch umgangen werden können. Endpoint Detection and Response (EDR)-Lösungen sollten so konfiguriert werden, dass sie verdächtige Makroaktivitäten und DLL-Sideloading-Versuche melden."

"Die Verwendung von DNSHook und Webhook.site für Command-and-Control-Datenverkehr (C2) ist ein Hinweis darauf, dass DNS-Abfragen und ausgehender Datenverkehr auf ungewöhnliche Muster überwacht werden sollten. Threat-Intelligence-Feeds und IOCs aus dieser Kampagne sollten in Erkennungssysteme integriert werden, sobald sie verfügbar sind."

"Dieser Angriff ist eine deutliche Erinnerung an die zunehmende Raffinesse staatlich geförderter Bedrohungsakteure wie APT28. Unternehmen müssen eine mehrschichtige Verteidigungsstrategie verfolgen, die proaktive Absicherung, Echtzeitüberwachung und schnelle Reaktionsmöglichkeiten auf Vorfälle kombiniert, um diese Bedrohungen wirksam zu mindern.“

Artikel

windows all So verhindern Sie, dass Microsoft Teams beim Starten geöffnet wird

Hier erfahren Sie, wie Sie verhindern können, dass Microsoft Teams unter Windows beim Start geöffnet wird.

software Spielen Sie verborgene Games in Browsern: Chrome, Edge, Firefox, Opera, Vivaldi

Auch wenn es Ihnen noch nicht aufgefallen ist, es gibt verborgene Spiele in den manchen Browsern.

windows 10 Windows 10: Personalisieren und Anpassen des Desktops

Eine der am meisten gewünschten Funktionen von Windows 10 ist die Rückkehr zur vertrauten Desktop-Umgebung.

windows all So beheben Sie das Problem des nicht funktionierenden Vorschaufensters für PDF-Dateien

Wenn auch Sie zu den Nutzern gehören, bei denen das Vorschaufenster für PDF-Dateien nicht funktioniert, finden Sie hier die passende Anleitung.

windows 10 So installieren Sie Windows 7-Spiele unter Windows 10

Es gibt eine Menge Gründe, warum jemand Windows 7-Spiele auf Windows 10 spielen möchte.

windows 7 So kopieren Sie Windows von HD auf SSD

Eine Tuningmaßnahme die spürbar mehr Performance bringt.

windows 10 Cortana: Den digitalen Assistenten von Windows 10 deaktivieren

Cortana: Den digitalen Assistenten von Windows 10 deaktivieren.

hardware Die wichtigsten Komponenten beim Kauf eines Windows-PCs

Worauf sollten Sie beim Kauf eines neuen Windows-PCs - Desktop oder Laptop - achten?

windows 7 Reset: Windows 7 zurücksetzen

Bei Windows 7 gibt es den sogenannten Refresh um das System zurückzusetzen.

windows 10 Microsoft Edge: Mit WDAG-Browser sicher im Internet surfen

WDAG wurde ursprünglich für Windows 10 Enterprise entwickelt und schützt Unternehmen vor Angriffen.

hardware Was ist Bios

Die Abkürzung BIOS steht für Basic Input/Output System und ist ein Chip, der sich auf allen Hauptplatinen von Computern befindet und Anweisungen und Einstellungen dafür enthält, wie Ihr System hochgefahren werden soll und wie es funktioniert.

windows 10 Wie Sie Hacker von Ihrem Windows 10 Computer loswerden bzw. fernhalten

Jedes Problem mit Ihrem Computer ist ärgerlich, aber keines ist so ärgerlich wie der Umgang mit einem gehackten Windows-System.

office So entfernt man überflüssige Leerzeichen in Microsoft Excel

Jeder, der viel Zeit mit der Arbeit mit Daten in Excel-Tabellen verbringt, weiß, dass überflüssige Leerzeichen ein echtes Ärgernis sind.

software Die 10 bekanntesten Computerviren der letzten Jahre

Ein Computervirus ist ein bösartiger Code, der so konzipiert ist, dass er sich selbst repliziert, wenn er in eine beliebige Computerumgebung eingeschleust wird.

windows 10 Hohe Speichernutzung in Windows 10 beheben

Wenn Sie den Task-Manager in Windows öffnen, stellen Sie möglicherweise eine unerklärlich hohe Speichernutzung fest.

windows 10 Wi-Fi Direct: Drahtlose Windows-Dateiübertragung

Bluetooth ist nicht die einzige Lösung für drahtlose Dateiübertragungen.

hardware Was ist UEFI und worin unterscheidet es sich von BIOS?

Neue Computer verwenden UEFI-Firmware anstelle des herkömmlichen BIOS.

hardware Die Arten von Modems

Es gibt verschiedene Arten von Modems, und sie können auf unterschiedliche Weise kategorisiert werden.

software Vor- und Nachteile von Firewalls

Um Webaktivitäten zu regulieren, werden Firewalls eingesetzt, die den illegalen und unbefugten Zugriff auf Computer, Laptops, Smartphones, Tablets verhindern.

Lexikon

0-9	A	B	C	D	E	F
G	H	I	J	K	L	M
N	O	P	Q	R	S	T
U	V	W	X	Y	Z	#