이란 APT OilRig, 새로운 Saitama 백도어 사용
4월 하순 2022, Fortinet 및 Malwarebytes 보안 연구원은 OilRig 해커 그룹이 보낸 악성 Excel 문서를 발견했습니다. (APT34라고도 함, 헬릭스 키튼, 그리고 코발트 집시) 사이타마(Saitama)라는 새로운 백도어를 주입하기 위해 요르단 외교관에게.
해당 피싱 메일은 외교부 IT부서 직원으로 위장한 해커가 보낸 것이었습니다.. 해당 공격은 수신자가 이메일의 진위 여부를 확인하기 위해 실제 IT 직원에게 이메일을 전달한 후 발견되었습니다..
이러한 공격 중 다수와 마찬가지로, 이메일에 악성 첨부 파일이 포함되어 있습니다. 하나, 첨부된 위협은 일반적인 악성코드가 아니었습니다.. 대신, 표적 공격과 일반적으로 관련된 기능과 방법이 있었습니다. (APT).말했다 포티넷 연구원 프레드 구티에레즈.
연구 노트에 따르면 제공 포티넷 제공, 매크로는 WMI를 사용합니다. (Windows 관리 계측) 명령 및 제어를 쿼리합니다. (기음&기음) 서버이며 세 개의 파일을 생성할 수 있습니다.: 악성 PE 파일, 구성 파일, 합법적인 DLL 파일. .NET으로 작성됨, 그만큼 Saitama 백도어는 DNS 프로토콜을 사용하여 C와 통신합니다.&C 및 데이터 추출, 가장 은밀한 의사소통 방법이다. 합법적인 트래픽에서 악성 패킷을 마스킹하는 방법도 사용됩니다..
저희도 다음과 같이 보고했음을 알려드립니다. 크로스 플랫폼 시스조커 백도어 공격 Windows, 맥OS와 리눅스 그리고 그 해커는 채용 담당자에게 more_eggs 악성코드가 포함된 이력서를 보냅니다..
Malwarebytes 별도의 백도어 보고서도 게시했습니다., 전체 프로그램 흐름은 명시적으로 다음과 같이 정의됩니다. 상태 머신. 간단한 말로, 기계는 각 상태에 전송된 명령에 따라 상태를 변경합니다..
주에는 다음이 포함됩니다.:
- 백도어가 실행 명령을 받은 초기 상태;
- “살다” 상태, 백도어가 C에 연결되는 곳&C 서버, 명령을 기다리고 있다;
- 수면 모드;
- 수신 상태, 백도어가 C의 명령을 받아들이는 경우&C 서버;
- 백도어가 명령을 실행하는 작동 상태;
- 제출 상태, 명령 실행 결과가 공격자에게 전송됩니다..
Malwarebytes 연구원들은 백도어가 특정 피해자를 표적으로 삼는다고 믿고 있습니다., 공격자는 대상 시스템의 내부 인프라에 대해 어느 정도 지식을 가지고 있습니다..
