APT OilRig ایرانی از درب پشتی جدید سایتما استفاده می کند
در اواخر آوریل 2022, محققان امنیتی Fortinet و Malwarebytes یک سند مخرب اکسل را کشف کردند که توسط گروه هکر OilRig ارسال شده بود. (همچنین به عنوان APT34 شناخته می شود, بچه گربه هلیکس, و کبالت کولی) به یک دیپلمات اردنی برای تزریق یک در پشتی جدید به نام سایتما.
ایمیل فیشینگ توسط یک هکر مبدل به عنوان کارمند بخش فناوری اطلاعات وزارت امور خارجه ارسال شده است.. این حمله پس از آن کشف شد که گیرنده ایمیل را به یک کارمند IT واقعی ارسال کرد تا صحت ایمیل را تأیید کند..
طبق یادداشت های تحقیقاتی ارائه شده است توسط Fortinet, ماکرو از WMI استفاده می کند (ابزار مدیریت ویندوز) برای پرس و جو فرمان و کنترل آن (سی&سی) سرور و قابلیت تولید سه فایل را دارد: یک فایل PE مخرب, یک فایل پیکربندی, و یک فایل DLL قانونی. نوشته شده در دات نت, را سایتاما Backdoor از پروتکل DNS برای ارتباط با C استفاده می کند&C و استخراج داده ها, که مخفیانه ترین روش ارتباطی است. روش های پنهان کردن بسته های مخرب در ترافیک قانونی نیز استفاده می شود.
یادآوری می کنم که ما هم آن را گزارش کردیم کراس پلتفرم SysJoker درب پشتی به ویندوز حمله می کند, macOS و Linux و آن هکرها رزومه هایی را با بدافزار more_eggs برای استخدام کنندگان ارسال می کنند.
Malwarebytes همچنین یک گزارش پشتی جداگانه منتشر کرد, با توجه به اینکه کل جریان برنامه به صراحت به صورت a تعریف شده است ماشین حالت. به زبان ساده, بسته به دستوری که به هر ایالت ارسال می شود، دستگاه حالت خود را تغییر می دهد.
ایالت ها را شامل می شود:
- حالت اولیه که درب پشتی فرمان راه اندازی را دریافت می کند;
- “زندگی کنید” دولت, که در آن درب پشتی به C متصل می شود&سرور C, منتظر دستور;
- حالت خواب;
- وضعیت دریافت, که در آن درب پشتی دستورات C را می پذیرد&سرور C;
- حالت عملیاتی که در آن درب پشتی دستورات را اجرا می کند;
- وضعیت ارسال, که در آن نتایج اجرای دستور برای مهاجمان ارسال می شود.
