Iranske APT OilRig bruker ny Saitama-bakdør
I slutten av april 2022, Fortinet og Malwarebytes sikkerhetsforskere oppdaget et ondsinnet Excel-dokument sendt av OilRig-hackergruppen (også kjent som APT34, Helix kattunge, og Cobalt Gypsy) til en jordansk diplomat for å injisere en ny bakdør kalt Saitama.
Phishing-e-posten kom fra en hacker forkledd som en ansatt i IT-avdelingen i Utenriksdepartementet. Angrepet ble oppdaget etter at mottakeren videresendte e-posten til en ekte IT-ansatt for å bekrefte autentisiteten til e-posten.
I følge forskningsnotater sørget for av Fortinet, makroen bruker WMI (Windows-administrasjonsinstrumentering) for å spørre om dens kommando og kontroll (C&C) server og er i stand til å produsere tre filer: en ondsinnet PE-fil, en konfigurasjonsfil, og en legitim DLL-fil. Skrevet i .NET, de Saitama bakdør bruker DNS-protokollen for å kommunisere med C&C og eksfiltrere data, som er den mest skjulte kommunikasjonsmetoden. Metoder for å maskere ondsinnede pakker i legitim trafikk brukes også.
La meg minne deg på at vi også rapporterte det Kryssplattform SysJoker bakdør angriper Windows, macOS og Linux og det Hackere sender CV med more_eggs malware til rekrutterere.
Malwarebytes publiserte også en egen bakdørsrapport, bemerker at hele programflyten er eksplisitt definert som en statsmaskin. Med enkle ord, maskinen vil endre sin tilstand avhengig av kommandoen som sendes til hver stat.
Statene inkluderer:
- Starttilstanden der bakdøren mottar lanseringskommandoen;
- “Bo” stat, der bakdøren kobles til C&C -server, venter på en kommando;
- Sove modus;
- Mottakende tilstand, der bakdøren godtar kommandoer fra C&C -server;
- Driftstilstand der bakdøren utfører kommandoer;
- Innleveringstilstand, der resultatene av kommandoutførelse sendes til angripere.
