Outlook заболел шизофренией — отправляет письма, о которых вы не знаете

Исследователи Kroll сообщили о новой кампании шпионажа, в которой применялось вредоносное ПО GONEPOSTAL. Эта программа была обнаружена в операциях группы KTA007, известной также под названиями Fancy Bear, APT28 и Pawn Storm. В её основу входят два компонента: DLL-файл-дроппер и замаскированный модуль-макрос VbaProject.OTM для Microsoft Outlook. Именно этот набор позволил превратить почтовый клиент в скрытый канал связи и обеспечить злоумышленникам постоянный доступ к системе.

Поддельная библиотека SSPICLI.dll выдаёт себя за легитимный модуль Windows и перенаправляет все вызовы функций к настоящей библиотеке, переименованной в tmp7EC9.dll. Таким образом, программы продолжают работать корректно, в то время как внедрённый код запускает PowerShell-команды. Среди них — копирование файла «testtemp.ini» в каталог Outlook, что обеспечивает запуск вредоносных макросов при старте почтового клиента, а также несколько обращений к внешним ресурсам через nslookup и curl. Эти действия помогают операторам фиксировать имена пользователей и IP-адреса жертв.

После выполнения команд DLL изменяет настройки в системном реестре. Ключ LoadMacroProviderOnBoot заставляет Outlook автоматически подгружать макросы, параметр Security Level переводится в режим разрешения всех макросов, а значение PONT_STRING отключает предупреждение о загрузке потенциально опасного содержимого. В результате все защитные механизмы обходятся ещё до старта Outlook.

Файл-макрос VbaProject.OTM содержит основную часть функционала GONEPOSTAL. Его код скрыт с помощью пароля и обфускации, но анализ показал, что он обеспечивает полноценный бэкдор . При запуске Outlook происходит инициализация конфигурации, а функция Application_NewMailEx начинает отслеживать входящие письма. Если в них обнаруживаются закодированные управляющие команды, они передаются на обработку и выполняются локально. Всего поддерживается четыре типа действий: исполнение PowerShell-команд с сохранением или без сохранения результата, загрузка файлов на заражённый компьютер и отправка данных на внешний сервер.

Для передачи информации GONEPOSTAL использует сам Outlook. Результаты выполнения команд и нужные файлы разбиваются на небольшие фрагменты, кодируются в base64 и прикрепляются к письмам, которые автоматически отправляются на почтовый адрес операторов. Аналогично происходит получение файлов и последующая сборка из фрагментов. Такой подход позволяет злоумышленникам использовать легитимный корпоративный канал связи, что делает активность малозаметной и трудноуловимой средствами защиты.

Особенностью вредоносной программы является ориентация на LotL-методы . Вместо сторонних протоколов или скрытых серверов она задействует уже существующую инфраструктуру Microsoft Outlook, что резко снижает вероятность обнаружения. Анализ также выявил в коде фрагменты, которые пока не используются, что указывает на возможное дальнейшее развитие функционала.

По оценке Kroll, этот инструмент демонстрирует нетипичный способ закрепления в системе. Хотя использование макросов Outlook для вредоносных целей уже встречалось в других кампаниях, GONEPOSTAL остаётся редким примером подобного механизма и представляет серьёзную угрозу для организаций, где Outlook применяется в качестве основного почтового клиента.