Die iranische APT OilRig verwendet die neue Saitama-Hintertür
Im späten April 2022, Sicherheitsforscher von Fortinet und Malwarebytes entdeckten ein bösartiges Excel-Dokument, das von der OilRig-Hackergruppe gesendet wurde (auch bekannt als APT34, Helix-Kätzchen, und Cobalt Gypsy) an einen jordanischen Diplomaten, um eine neue Hintertür namens Saitama einzuschleusen.
Die Phishing-E-Mail stammte von einem Hacker, der sich als Mitarbeiter der IT-Abteilung des Außenministeriums verkleidet hatte. Der Angriff wurde entdeckt, nachdem der Empfänger die E-Mail an einen echten IT-Mitarbeiter weitergeleitet hatte, um die Echtheit der E-Mail zu überprüfen.
Laut Forschungsnotizen bereitgestellt von Fortinet, Das Makro verwendet WMI (Windows-Verwaltungsinstrumentation) seinen Befehl und seine Kontrolle abzufragen (C&C) Server und ist in der Lage, drei Dateien zu erstellen: eine bösartige PE-Datei, eine Konfigurationsdatei, und eine legitime DLL-Datei. Geschrieben in .NET, das Saitama Backdoor verwendet das DNS-Protokoll, um mit C zu kommunizieren&C und Daten exfiltrieren, das ist die heimlichste Art der Kommunikation. Es werden auch Methoden zum Maskieren bösartiger Pakete im legitimen Datenverkehr verwendet.
Darf ich daran erinnern, dass wir das auch gemeldet haben Plattformübergreifend SysJoker Backdoor greift Windows an, macOS und Linux und das Hacker senden Lebensläufe mit more_eggs-Malware an Personalvermittler.
Malwarebytes auch einen separaten Backdoor-Bericht veröffentlicht, Beachten Sie, dass der gesamte Programmablauf explizit als a definiert ist Zustandsmaschine. In einfachen Worten, Die Maschine ändert ihren Zustand in Abhängigkeit von dem an jeden Zustand gesendeten Befehl.
Staaten umfassen:
- Der Anfangszustand, in dem die Hintertür den Startbefehl erhält;
- “Live” Zustand, in dem die Hintertür eine Verbindung zum C herstellt&C-Server, auf einen Befehl warten;
- Schlafmodus;
- Empfangszustand, in dem die Hintertür Befehle vom C akzeptiert&C-Server;
- Betriebszustand, in dem die Hintertür Befehle ausführt;
- Übermittlungsstatus, bei dem die Ergebnisse der Befehlsausführung an Angreifer gesendet werden.