イランのAPTOilRigが新しい埼玉バックドアを使用
4月下旬 2022, フォーティネットとMalwarebytesのセキュリティ研究者が、OilRigハッカーグループから送信された悪意のあるExcelドキュメントを発見しました (APT34としても知られています, らせん子猫, とコバルトジプシー) ヨルダンの外交官に埼玉と呼ばれる新しい裏口を注入するために.
フィッシングメールは、外務省のIT部門の従業員を装ったハッカーから送信されました。. この攻撃は、受信者が電子メールを実際のIT従業員に転送して、電子メールの信頼性を確認した後に発見されました。.
これらの攻撃の多くのように, メールに悪意のある添付ファイルが含まれていました. しかしながら, 添付された脅威は通常のマルウェアではありませんでした. その代わり, 標的型攻撃に一般的に関連する機能と方法がありました (APT).言った フォーティネット 研究者 フレッド・グティエレス.
研究ノートによると 提供された フォーティネット, マクロはWMIを使用します (Windows Management Instrumentation) そのコマンドアンドコントロールを照会する (C&C) サーバーと3つのファイルを生成することができます: 悪意のあるPEファイル, 構成ファイル, および正当なDLLファイル. .NETで書かれています, インクルード Saitama バックドアはDNSプロトコルを使用してCと通信します&Cおよびデータを盗み出す, これは最もステルスなコミュニケーション方法です. 正当なトラフィックで悪意のあるパケットをマスクする方法も使用されます.
私たちもそれを報告したことを思い出させてください クロスプラットフォーム SysJoker バックドアがWindowsを攻撃する, macOSとLinux そしてそれ ハッカーはmore_eggsマルウェアの履歴書を採用担当者に送信します.
Malwarebytes 別のバックドアレポートも公開, プログラムフロー全体が明示的に次のように定義されていることに注意してください。 ステートマシン. 簡単に言えば, マシンは、各状態に送信されたコマンドに応じて状態を変更します.
州には以下が含まれます:
- バックドアが起動コマンドを受信する初期状態;
- “ライブ” 州, バックドアがCに接続している&Cサーバー, コマンドを待っています;
- スリープモード;
- 受信状態, バックドアがCからのコマンドを受け入れる&Cサーバー;
- バックドアがコマンドを実行する動作状態;
- 提出状態, コマンド実行の結果が攻撃者に送信されます.
Malwarebytesの研究者は、バックドアが特定の被害者をターゲットにしていると考えています, 攻撃者は、ターゲットのシステムの内部インフラストラクチャについてある程度の知識を持っていること.