Iraanse APT OilRig gebruikt nieuwe Saitama-achterdeur

Helga Smithmei 18, 2022Laatst bijgewerkt: mei 18, 2022
1 minuut lezen

Eind april 2022, Beveiligingsonderzoekers van Fortinet en Malwarebytes ontdekten een kwaadaardig Excel-document verzonden door de hackergroep OilRig (ook bekend als APT34, Helix-katje, en kobaltzigeuner) aan een Jordaanse diplomaat om een ​​nieuwe achterdeur te injecteren genaamd Saitama.

De phishingmail was afkomstig van een hacker, vermomd als medewerker van de IT-afdeling van het Ministerie van Buitenlandse Zaken. De aanval werd ontdekt nadat de ontvanger de e-mail had doorgestuurd naar een echte IT-medewerker om de authenticiteit van de e-mail te verifiëren.

Zoals veel van deze aanvallen, de e-mail bevatte een kwaadaardige bijlage. Echter, de bijgevoegde dreiging was geen gewone malware. In plaats daarvan, het beschikte over de mogelijkheden en methoden die gewoonlijk worden geassocieerd met gerichte aanvallen (APT's).zei Fortinet onderzoeker Fred Gutierrez.

Volgens onderzoeksnotities mits van Fortinet, de macro gebruikt WMI (Windows-beheerinstrumentatie) om zijn commando en controle te ondervragen (C&C) server en kan drie bestanden produceren: een kwaadaardig PE-bestand, een configuratiebestand, en een legitiem DLL-bestand. Geschreven in .NET, de Saitama backdoor gebruikt het DNS-protocol om met C te communiceren&C en exfiltreer gegevens, wat de meest onopvallende communicatiemethode is. Er worden ook methoden gebruikt om kwaadaardige pakketten in legitiem verkeer te maskeren.

Laat me je eraan herinneren dat we dat ook hebben gemeld Platformonafhankelijk Linux en macOS als onderdeel van een cyberspioncampagne achterdeuraanvallen op Windows, macOS en Linux en dat Hackers sturen cv's met more_eggs-malware naar recruiters.

Malwarebytes publiceerde ook een afzonderlijk achterdeurrapport, waarbij wordt opgemerkt dat de gehele programmastroom expliciet wordt gedefinieerd als a staatsmachine. In eenvoudige woorden, de machine zal zijn status veranderen afhankelijk van de opdracht die naar elke staat wordt verzonden.

Staten omvatten:

  1. De initiële status waarin de achterdeur het startcommando ontvangt;
  2. “Live” staat, waarin de achterdeur aansluit op de C&C-server, wachten op een commando;
  3. Slaapmodus;
  4. Ontvangende staat, waarin de achterdeur opdrachten van de C accepteert&C-server;
  5. Operationele status waarin de achterdeur opdrachten uitvoert;
  6. Inzendingsstatus, waarin de resultaten van de opdrachtuitvoering naar aanvallers worden verzonden.
Malwarebytes-onderzoekers zijn van mening dat de achterdeur zich op een specifiek slachtoffer richt, en dat de aanvaller enige kennis heeft van de interne infrastructuur van de systemen van het doelwit.
Tags
Helga Smithmei 18, 2022Laatst bijgewerkt: mei 18, 2022
1 minuut lezen

Helga Smith

Ik was altijd al geïnteresseerd in informatica, vooral gegevensbeveiliging en het thema, die tegenwoordig heet "datawetenschap", sinds mijn vroege tienerjaren. Voordat je als hoofdredacteur bij het Virus Removal-team komt, Ik heb bij verschillende bedrijven als cybersecurity-expert gewerkt, including one of Amazon's contractors. Nog een ervaring: Ik heb les aan de universiteiten van Arden en Reading.

Laat een antwoord achter

Your email address will not be published. Required fields are marked *

Deze website maakt gebruik van Akismet om spam te verminderen. Leer hoe je reactie gegevens worden verwerkt.

Terug naar boven knop