网络安全公司Kroll近日发现俄罗斯APT28（高级持续威胁28组，又称Fancy Bear）发起的新型间谍活动，该组织使用名为GONEPOSTAL的定制Outlook宏后门程序。这款恶意软件通过DLL侧加载（DLL Side-Loading）技术和Microsoft Outlook的VBA（Visual Basic for Applications）宏引擎，构建了基于电子邮件的隐蔽命令控制（C2）通道。

攻击组织背景

Kroll将此次攻击归因于代号KTA007的组织，即广为人知的Fancy Bear、APT28或Pawn Storm。报告明确指出："KTA007是与俄罗斯军方总参谋部情报总局（GRU）第26165部队关联的、受国家支持的政治经济间谍组织。"该组织"战绩"显赫，涉及2016年民主党全国委员会（DNC）数据泄露、国际奥委会（IOC）入侵以及挪威议会攻击等事件。

攻击技术剖析

攻击始于两个被提交分析的DLL文件：SSPICLI.dll和tmp7EC9.dll。其中恶意SSPICLI.dll伪装成微软同名合法动态链接库。"该恶意DLL通过导出表将其105个库函数全部转发至随附的重命名DLL，使得调用该DLL的应用程序仍能正常运作。"在此掩护下，攻击者的代码暗中执行PowerShell命令实施进一步渗透。

恶意DLL的DLLMain函数会启动经过编码的PowerShell命令，其中关键指令包括：

• 将预置文件testtemp.ini复制到Outlook配置目录并重命名为VbaProject.OTM（此后门激活的关键步骤）

• 通过DNS和HTTP查询向攻击者控制的基础设施外传受害者用户名及IP地址

持久化机制

恶意软件通过修改Windows注册表键值强制Outlook启动时加载恶意宏：

• LoadMacroProviderOnBoot = 1启用宏加载功能

• Level = 1将Outlook设置为"启用所有宏"

• PONT_STRING = "32"抑制通常会警告用户可疑内容的对话框

Kroll分析指出："通过启用注册表设置'LoadMacroProviderOnBoot'，GONEPOSTAL被加载到Microsoft Outlook中，该设置允许从VbaProject.OTM文件自动加载VBA。这使得后门程序能够利用电子邮件服务本身作为C2通道。"

后门工作流程

1. 启动阶段：在Outlook的MAPI登录事件时激活

2. 邮件监控：通过Application_NewMailEx()监听新邮件

3. 指令解析：识别含有编码指令的特殊C2邮件

4. 命令执行：运行指令、窃取文件并将数据分块隐藏在邮件附件中外传

5. 痕迹清除：从收件箱和已删除文件夹中清除处理过的C2邮件

这种"就地取材"（Living off the Land）的攻击手法滥用合法电子邮件流量，使得检测变得异常困难。

攻击特征与防御建议

该恶意软件专为间谍活动设计，主要功能包括：

• 远程文件操作

• PowerShell命令执行

• 隐蔽文件传输

• 通过伪装成正常邮件的编码附件外传数据

Kroll强调："此次活动完美展示了如何利用常见商业工具和通信方式实现命令控制。通过合法渠道拦截电子邮件并植入工具，形成了难以检测的隐蔽访问方式。"

企业应重点监控以下异常行为：

• 异常的Outlook宏活动

• 可疑的注册表修改

• 非常规的电子邮件收发模式

APT28持续创新攻击手法，此次将Microsoft Outlook改造成间谍后门的案例，再次巩固了其作为全球最具实力国家支持网络攻击组织的声誉。