APT OilRig האיראנית משתמשת בדלת אחורית חדשה של Saitama
בסוף אפריל 2022, חוקרי אבטחה של Fortinet ו-Malwarebytes גילו מסמך אקסל זדוני שנשלח על ידי קבוצת ההאקרים OilRig (ידוע גם בשם APT34, Helix Kitten, וקובלט ג'יפסי) לדיפלומט ירדני להזריק דלת אחורית חדשה בשם סאיטאמה.
מייל ההתחזות הגיע מהאקר שהתחפש לעובד באגף ה-IT במשרד החוץ. המתקפה התגלתה לאחר שהנמען העביר את המייל לעובד IT אמיתי כדי לאמת את מקוריות המייל.
לפי הערות מחקר מסופק מאת פורטינט, המאקרו משתמש ב-WMI (מכשור ניהול Windows) לשאול את הפיקוד והשליטה שלו (ג&ג) שרת ומסוגל לייצר שלושה קבצים: קובץ PE זדוני, קובץ תצורה, וקובץ DLL לגיטימי. נכתב ב-.NET, ה סאיטאמה דלת אחורית משתמשת בפרוטוקול DNS כדי לתקשר עם C&C והחלפת נתונים, שזו שיטת התקשורת החמקנית ביותר. נעשה שימוש גם בשיטות של מיסוך מנות זדוניות בתעבורה לגיטימית.
הרשה לי להזכיר לך כי דיווחנו גם על כך חוצה פלטפורמות SysJoker דלת אחורית תוקפת את חלונות, macOS ולינוקס וזה האקרים שולחים קורות חיים עם תוכנות זדוניות more_eggs למגייסים.
Malwarebytes פרסם גם דו"ח נפרד בדלת אחורית, שים לב שכל זרימת התוכנית מוגדרת במפורש כ- a מכונת מצבים. במילים פשוטות, המכונה תשנה את מצבה בהתאם לפקודה שנשלחה לכל מדינה.
מדינות כוללות:
- המצב ההתחלתי בו הדלת האחורית מקבלת את פקודת ההשקה;
- “לחיות” מדינה, שבו הדלת האחורית מתחברת ל-C&שרת C, מחכה לפקודה;
- מצב שינה;
- מצב מקבל, שבו הדלת האחורית מקבלת פקודות מה-C&שרת C;
- מצב תפעולי בו הדלת האחורית מבצעת פקודות;
- מצב הגשה, שבו תוצאות ביצוע הפקודה נשלחות לתוקפים.
