La plate-forme pétrolière iranienne APT utilise la nouvelle porte dérobée de Saitama

Helga SmithPeut 18, 2022Dernière mise à jour: Peut 18, 2022
46 Temps de lecture 1 minute

Fin avril 2022, Les chercheurs en sécurité de Fortinet et Malwarebytes ont découvert un document Excel malveillant envoyé par le groupe de hackers OilRig (également connu sous le nom d'APT34, Chaton Hélix, et Cobalt Gypsy) à un diplomate jordanien pour lui injecter une nouvelle porte dérobée appelée Saitama.

L'e-mail de phishing provenait d'un pirate informatique déguisé en employé du service informatique du ministère des Affaires étrangères.. L'attaque a été découverte après que le destinataire a transmis l'e-mail à un véritable employé informatique pour vérifier l'authenticité de l'e-mail..

Comme beaucoup de ces attaques, l'e-mail contenait une pièce jointe malveillante. toutefois, la menace attachée n'était pas un malware ordinaire. Au lieu, il disposait des capacités et des méthodes communément associées aux attaques ciblées (APT).mentionné Fortinet chercheur Fred Gutiérrez.

Selon les notes de recherche fourni par Fortinet, la macro utilise WMI (Windows Management Instrumentation) interroger son commandement et son contrôle (C&C) serveur et est capable de produire trois fichiers: un fichier PE malveillant, un fichier de configuration, et un fichier DLL légitime. Écrit en .NET, la Saitama la porte dérobée utilise le protocole DNS pour communiquer avec C&C et exfiltrer les données, qui est la méthode de communication la plus furtive. Des méthodes de masquage des paquets malveillants dans le trafic légitime sont également utilisées.

Permettez-moi de vous rappeler que nous avons également signalé que Multiplateforme SysJokerComment attaques par porte dérobée Windows, macOS et Linux et cela Les pirates envoient des CV avec le logiciel malveillant more_eggs aux recruteurs.

Malwarebytes a également publié un rapport séparé sur les portes dérobées, notant que l'ensemble du flux du programme est explicitement défini comme un machine à états. En mots simples, la machine changera d'état en fonction de la commande envoyée à chaque état.

Les États comprennent:

  1. L'état initial dans lequel la porte dérobée reçoit la commande de lancement;
  2. “En direct” État, dans lequel la porte dérobée se connecte au C&serveur C, en attendant une commande;
  3. Mode veille;
  4. État de réception, dans lequel la porte dérobée accepte les commandes du C&serveur C;
  5. État opérationnel dans lequel la porte dérobée exécute les commandes;
  6. État de soumission, dans lequel les résultats de l'exécution des commandes sont envoyés aux attaquants.
Les chercheurs de Malwarebytes pensent que la porte dérobée cible une victime spécifique, et que l’attaquant a une certaine connaissance de l’infrastructure interne des systèmes de la cible.
Mots clés
Helga SmithPeut 18, 2022Dernière mise à jour: Peut 18, 2022
46 Temps de lecture 1 minute

Helga Smith

J'ai toujours été intéressé par l'informatique, en particulier la sécurité des données et le thème, qui s'appelle de nos jours "science des données", depuis mon adolescence. Avant de rejoindre l'équipe de suppression de virus en tant que rédacteur en chef, J'ai travaillé comme expert en cybersécurité dans plusieurs entreprises, dont l'un des sous-traitants d'Amazon. Une autre expérience: J'ai enseigné dans les universités d'Arden et de Reading.

Laisser un commentaire

Ce site utilise Akismet pour réduire le spam. Découvrez comment vos données de commentaire est traité.

Bouton retour en haut de la page