Ang Iranian APT OilRig Naggamit sa Bag-ong Saitama Backdoor

Helga SmithMay 18, 2022Katapusan nga Gi-update: May 18, 2022
1 minuto nga pagbasa

Sa ulahing bahin sa Abril 2022, Ang Fortinet ug Malwarebytes security researchers nakadiskubre og malisyoso nga Excel nga dokumento nga gipadala sa OilRig hacker group (nailhan usab nga APT34, Helix Kuting, ug Cobalt Gypsy) sa usa ka diplomat sa Jordan aron mag-inject sa bag-ong backdoor nga gitawag og Saitama.

Ang phishing email gikan sa usa ka hacker nga nagtakuban isip empleyado sa IT department sa Ministry of Foreign Affairs. Ang pag-atake nadiskobrehan human ang nakadawat nagpadala sa email ngadto sa usa ka tinuod nga empleyado sa IT aron sa pagsusi sa pagkatinuod sa email.

Sama sa kadaghanan niini nga mga pag-atake, ang email adunay malisyosong attachment. Hinuon, ang gilakip nga hulga dili ordinaryo nga malware. Hinuon, kini adunay mga kapabilidad ug mga pamaagi nga sagad nalangkit sa gipunting nga mga pag-atake (Mga APT).miingon Fortinet tigdukiduki Fred Gutierrez.

Sumala sa mga nota sa panukiduki gihatag pinaagi sa Fortinet, ang macro naggamit sa WMI (Instrumentasyon sa Pagdumala sa Windows) sa pagpangutana sa mando ug pagkontrol niini (C&C) server ug makahimo sa paghimo og tulo ka mga file: usa ka malisyosong PE file, usa ka configuration file, ug usa ka lehitimong DLL file. Gisulat sa .NET, ang Saitama Ang backdoor naggamit sa DNS protocol aron makigkomunikar sa C&C ug i-exfiltrate ang datos, nga mao ang labing tago nga paagi sa komunikasyon. Gigamit usab ang mga pamaagi sa pagtago sa mga malisyoso nga pakete sa lehitimong trapiko.

Pahinumdum ko nimo nga gi-report usab namo kana Cross-plataporma SysJoker giatake sa backdoor ang Windows, macOS ug Linux ug kana Ang mga hacker nagpadala mga resume nga adunay dugang nga_eggs malware sa mga recruiter.

Malwarebytes nagpatik usab ug bulag nga backdoor report, namatikdan nga ang tibuok dagan sa programa tin-aw nga gihubit isip a makina sa estado. Sa yanong mga pulong, ang makina magbag-o sa estado niini depende sa sugo nga gipadala sa matag estado.

Ang mga estado naglakip:

  1. Ang inisyal nga kahimtang diin ang backdoor nakadawat sa mando sa paglansad;
  2. “Mabuhi” estado, diin ang backdoor nagkonektar sa C&C server, naghulat sa usa ka sugo;
  3. Sleep mode;
  4. Pagdawat nga estado, diin ang backdoor modawat sa mga sugo gikan sa C&C server;
  5. Ang kahimtang sa operasyon diin ang backdoor nagpatuman sa mga mando;
  6. Estado sa pagsumite, diin ang mga resulta sa command execution gipadala ngadto sa mga tig-atake.
Ang mga tigdukiduki sa Malwarebytes nagtuo nga ang backdoor nagpunting sa usa ka piho nga biktima, ug nga ang tig-atake adunay pipila ka kahibalo sa internal nga imprastraktura sa mga sistema sa target.
Mga tag
Helga SmithMay 18, 2022Katapusan nga Gi-update: May 18, 2022
1 minuto nga pagbasa

Helga Smith

Kanunay kong interesado sa siyensya sa kompyuter, ilabi na ang seguridad sa datos ug ang tema, nga gitawag karon "siyensya sa datos", sukad pa sa akong pagkabatan-on. Sa wala pa mosulod sa Virus Removal team isip Editor-in-chief, Nagtrabaho ko isip eksperto sa cybersecurity sa daghang kompanya, lakip ang usa sa mga kontraktor sa Amazon. Laing kasinatian: Naa koy pagtudlo sa mga unibersidad sa Arden ug Reading.

Pagbilin ug Tubag

Kini nga site naggamit sa Akismet aron makunhuran ang spam. Hibal-i kung giunsa ang pagproseso sa data sa imong komento.

Balik sa ibabaw nga buton