Die iranische APT OilRig verwendet die neue Saitama-Hintertür

Helga SmithKann 18, 2022Letztes Update Kann 18, 2022
46 1 Minute Lesezeit

Im späten April 2022, Sicherheitsforscher von Fortinet und Malwarebytes entdeckten ein bösartiges Excel-Dokument, das von der OilRig-Hackergruppe gesendet wurde (auch bekannt als APT34, Helix-Kätzchen, und Cobalt Gypsy) an einen jordanischen Diplomaten, um eine neue Hintertür namens Saitama einzuschleusen.

Die Phishing-E-Mail stammte von einem Hacker, der sich als Mitarbeiter der IT-Abteilung des Außenministeriums verkleidet hatte. Der Angriff wurde entdeckt, nachdem der Empfänger die E-Mail an einen echten IT-Mitarbeiter weitergeleitet hatte, um die Echtheit der E-Mail zu überprüfen.

Wie viele dieser Angriffe, Die E-Mail enthielt einen schädlichen Anhang. jedoch, Die beigefügte Bedrohung war keine gewöhnliche Malware. Stattdessen, Es verfügte über die Fähigkeiten und Methoden, die üblicherweise mit gezielten Angriffen in Verbindung gebracht werden (APTs).sagte Fortinet Forscher Fred Gutiérrez.

Laut Forschungsnotizen bereitgestellt von Fortinet, Das Makro verwendet WMI (Windows-Verwaltungsinstrumentation) seinen Befehl und seine Kontrolle abzufragen (C&C) Server und ist in der Lage, drei Dateien zu erstellen: eine bösartige PE-Datei, eine Konfigurationsdatei, und eine legitime DLL-Datei. Geschrieben in .NET, das Saitama Backdoor verwendet das DNS-Protokoll, um mit C zu kommunizieren&C und Daten exfiltrieren, das ist die heimlichste Art der Kommunikation. Es werden auch Methoden zum Maskieren bösartiger Pakete im legitimen Datenverkehr verwendet.

Darf ich daran erinnern, dass wir das auch gemeldet haben Plattformübergreifend SysJoker Backdoor greift Windows an, macOS und Linux und das Hacker senden Lebensläufe mit more_eggs-Malware an Personalvermittler.

Malwarebytes auch einen separaten Backdoor-Bericht veröffentlicht, Beachten Sie, dass der gesamte Programmablauf explizit als a definiert ist Zustandsmaschine. In einfachen Worten, Die Maschine ändert ihren Zustand in Abhängigkeit von dem an jeden Zustand gesendeten Befehl.

Staaten umfassen:

  1. Der Anfangszustand, in dem die Hintertür den Startbefehl erhält;
  2. “Live” Zustand, in dem die Hintertür eine Verbindung zum C herstellt&C-Server, auf einen Befehl warten;
  3. Schlafmodus;
  4. Empfangszustand, in dem die Hintertür Befehle vom C akzeptiert&C-Server;
  5. Betriebszustand, in dem die Hintertür Befehle ausführt;
  6. Übermittlungsstatus, bei dem die Ergebnisse der Befehlsausführung an Angreifer gesendet werden.
Die Forscher von Malwarebytes glauben, dass die Hintertür auf ein bestimmtes Opfer abzielt, und dass der Angreifer einige Kenntnisse über die interne Infrastruktur der Systeme des Ziels hat.
Schlagwörter
Helga SmithKann 18, 2022Letztes Update Kann 18, 2022
46 1 Minute Lesezeit

Helga Smith

Ich habe mich schon immer für Informatik interessiert, insbesondere Datensicherheit und das Thema, das heißt heute "Datenwissenschaft", seit meiner frühen Jugend. Bevor Sie als Chefredakteur in das Virus Removal Team eintreten, Ich habe als Cybersecurity-Experte in mehreren Unternehmen gearbeitet, einschließlich eines der Vertragspartner von Amazon. Eine andere Erfahrung: Ich habe Lehraufträge an den Universitäten Arden und Reading.

Hinterlasse eine Antwort

Diese Seite nutzt Akismet Spam zu reduzieren. Erfahren Sie, wie Sie Ihren Kommentar Daten verarbeitet.

Schaltfläche "Zurück zum Anfang"