Iranilainen APT OilRig käyttää uutta Saitaman takaovea
Huhtikuun lopulla 2022, Fortinetin ja Malwarebytesin tietoturvatutkijat löysivät OilRig-hakkeriryhmän lähettämän haitallisen Excel-asiakirjan (tunnetaan myös nimellä APT34, Helix Kitten, ja Cobalt Gypsy) jordanialaiselle diplomaatille pistämään uuden takaoven nimeltä Saitama.
Tietojenkalasteluviesti tuli ulkoministeriön IT-osaston työntekijäksi naamioituneelta hakkerilta. Hyökkäys havaittiin sen jälkeen, kun vastaanottaja välitti sähköpostin todelliselle IT-työntekijälle varmistaakseen sähköpostin aitouden..
Tutkimustietojen mukaan tarjotaan kirjoittanut Fortinet, makro käyttää WMI:tä (Windowsin hallintainstrumentointi) kysyä sen komentoja ja hallintaa (C&C) palvelimelle ja pystyy tuottamaan kolme tiedostoa: haitallinen PE-tiedosto, asetustiedosto, ja laillinen DLL-tiedosto. Kirjoitettu .NET:ssä, the Saitama backdoor käyttää DNS-protokollaa kommunikoidakseen C:n kanssa&C ja suodattaa tiedot, mikä on salakkain tapa kommunikoida. Käytetään myös menetelmiä haitallisten pakettien peittämiseksi laillisessa liikenteessä.
Muistutan, että olemme myös ilmoittaneet siitä Cross-platform SysJoker takaovi hyökkää Windowsiin, macOS ja Linux ja tuo Hakkerit lähettävät rekrytoijille ansioluetteloita, joissa on more_eggs-haittaohjelma.
Malwarebytes julkaisi myös erillisen takaoven raportin, huomaa, että koko ohjelmavirta on nimenomaisesti määritelty a valtion kone. Yksinkertaisin sanoin, kone muuttaa tilaansa kuhunkin tilaan lähetetyn komennon mukaan.
osavaltiot sisältävät:
- Alkutila, jossa takaovi vastaanottaa käynnistyskomennon;
- “Elää” osavaltio, jossa takaovi yhdistyy C:hen&C-palvelin, odottaa käskyä;
- Nukkumismoodi;
- Vastaanottotila, jossa takaovi hyväksyy komennot C:ltä&C-palvelin;
- Toimintatila, jossa takaovi suorittaa komentoja;
- Lähetyksen tila, jossa komennon suorittamisen tulokset lähetetään hyökkääjille.
