ईरानी एपीटी ऑयलरिग नए सैतामा बैकडोर का उपयोग करता है
अप्रैल के अंत में 2022, फोर्टिनेट और मालवेयरबाइट्स सुरक्षा शोधकर्ताओं ने ऑयलरिग हैकर समूह द्वारा भेजे गए एक दुर्भावनापूर्ण एक्सेल दस्तावेज़ की खोज की (APT34 के नाम से भी जाना जाता है, हेलिक्स बिल्ली का बच्चा, और कोबाल्ट जिप्सी) जॉर्डन के एक राजनयिक को सैतामा नामक एक नया पिछले दरवाजे को इंजेक्ट करने के लिए.
फ़िशिंग ईमेल विदेश मंत्रालय के आईटी विभाग के कर्मचारी के भेष में एक हैकर से आया था. हमले का पता तब चला जब प्राप्तकर्ता ने ईमेल की प्रामाणिकता को सत्यापित करने के लिए इसे एक वास्तविक आईटी कर्मचारी को भेज दिया.
शोध नोट्स के अनुसार प्रदान किया फोर्टिनेट द्वारा, मैक्रो WMI का उपयोग करता है (विंडोज प्रबंधन उपकरण व्यवस्था) इसके आदेश और नियंत्रण को क्वेरी करने के लिए (सी&सी) सर्वर और तीन फ़ाइलें बनाने में सक्षम है: एक दुर्भावनापूर्ण PE फ़ाइल, एक कॉन्फ़िगरेशन फ़ाइल, और एक वैध DLL फ़ाइल. .NET में लिखा गया, the Saitama C के साथ संचार करने के लिए बैकडोर DNS प्रोटोकॉल का उपयोग करता है&सी और डेटा exfiltrate, जो संचार का सबसे गुप्त तरीका है. वैध ट्रैफ़िक में दुर्भावनापूर्ण पैकेटों को छिपाने के तरीकों का भी उपयोग किया जाता है.
मैं आपको याद दिला दूं कि हमने इसकी रिपोर्ट भी की थी क्रॉस-प्लेटफॉर्म SysJoker पिछला दरवाज़ा विंडोज़ पर हमला करता है, मैकओएस और लिनक्स ओर वो हैकर्स भर्तीकर्ताओं को अधिक_अंडे मैलवेयर के साथ बायोडाटा भेजते हैं.
Malwarebytes एक अलग बैकडोर रिपोर्ट भी प्रकाशित की, यह देखते हुए कि संपूर्ण प्रोग्राम प्रवाह को स्पष्ट रूप से परिभाषित किया गया है राज्य मशीन. सरल शब्दों में, मशीन प्रत्येक राज्य को भेजे गए आदेश के आधार पर अपनी स्थिति बदल देगी.
राज्यों में शामिल हैं:
- प्रारंभिक अवस्था जिसमें पिछला दरवाजा लॉन्च कमांड प्राप्त करता है;
- “रहना” राज्य, जिसमें पिछला दरवाजा सी से जुड़ता है&सी सर्वर, आदेश की प्रतीक्षा में;
- स्लीप मोड;
- प्राप्त करने की अवस्था, जिसमें पिछला दरवाजा सी से आदेश स्वीकार करता है&सी सर्वर;
- संचालनात्मक स्थिति जिसमें पिछला दरवाजा आदेशों को निष्पादित करता है;
- सबमिशन अवस्था, जिसमें कमांड निष्पादन के परिणाम हमलावरों को भेजे जाते हैं.
