Irański APT OilRig używa nowego backdoora Saitama
Pod koniec kwietnia 2022, Analitycy bezpieczeństwa Fortinet i Malwarebytes odkryli złośliwy dokument Excela wysłany przez grupę hakerów OilRig (znany również jako APT34, Kotek Helix, i Cygan kobaltowy) do jordańskiego dyplomaty, aby wstrzyknął nowe tylne drzwi o nazwie Saitama.
E-mail phishingowy pochodził od hakera przebranego za pracownika działu IT Ministerstwa Spraw Zagranicznych. Atak został wykryty po tym, jak odbiorca przesłał wiadomość e-mail do prawdziwego pracownika IT w celu zweryfikowania autentyczności wiadomości e-mail.
Według notatek z badań pod warunkiem, że przez Fortinet, makro używa WMI (Instrumentacja zarządzania Windows) zapytać o jego dowodzenie i kontrolę (do&do) serwer i jest w stanie wyprodukować trzy pliki: złośliwy plik PE, plik konfiguracyjny, i legalny plik DLL. Napisane w .NET, ten Saitama backdoor używa protokołu DNS do komunikacji z C&C i eksfiltruj dane, która jest najbardziej ukrytą metodą komunikacji. Stosowane są również metody maskowania złośliwych pakietów w legalnym ruchu.
Przypomnę, że również to zgłosiliśmy Wieloplatformowy SysJoker backdoor atakuje Windows, macOS i Linux i to Hakerzy wysyłają rekruterom CV ze złośliwym oprogramowaniem more_eggs.
Malwarebytes opublikował również osobny raport dotyczący backdoora, zauważając, że cały przebieg programu jest wyraźnie zdefiniowany jako a maszyna stanowa. W prostych słowach, maszyna zmieni swój stan w zależności od polecenia wysłanego do każdego stanu.
Stany obejmują:
- Stan początkowy, w którym backdoor otrzymuje polecenie uruchomienia;
- “Relacja na żywo” państwo, w którym backdoor łączy się z C&serwer C, czekam na polecenie;
- Tryb uśpienia;
- Stan odbioru, w którym backdoor akceptuje polecenia z C&serwer C;
- Stan operacyjny, w którym backdoor wykonuje polecenia;
- Stan zgłoszenia, w którym wyniki wykonania polecenia są wysyłane do atakujących.
