APT OilRig iraniana usa novo backdoor Saitama
No final de abril 2022, Pesquisadores de segurança da Fortinet e Malwarebytes descobriram um documento malicioso do Excel enviado pelo grupo de hackers OilRig (também conhecido como APT34, Gatinho Helix, e Cobalto Cigano) a um diplomata jordaniano para injetar um novo backdoor chamado Saitama.
O e-mail de phishing veio de um hacker disfarçado de funcionário do departamento de TI do Ministério das Relações Exteriores. O ataque foi descoberto depois que o destinatário encaminhou o e-mail para um funcionário de TI real para verificar a autenticidade do e-mail.
De acordo com notas de pesquisa forneceu por Fortinet, a macro usa WMI (Instrumentação de gerenciamento do Windows) para consultar seu comando e controle (C&C) servidor e é capaz de produzir três arquivos: um arquivo PE malicioso, um arquivo de configuração, e um arquivo DLL legítimo. Escrito em .NET, a Saitama backdoor usa o protocolo DNS para se comunicar com C&C e exfiltrar dados, qual é o método de comunicação mais furtivo. Métodos de mascarar pacotes maliciosos em tráfego legítimo também são usados.
Deixe-me lembrá-lo de que também informamos que Multiplataforma SysJokerGenericName backdoor ataca o Windows, macOS e Linux e essa Hackers enviam currículos com malware more_eggs para recrutadores.
Malwarebytes também publicou um relatório de backdoor separado, observando que todo o fluxo do programa é explicitamente definido como um máquina de estado. Em palavras simples, a máquina mudará seu estado dependendo do comando enviado para cada estado.
Estados incluem:
- O estado inicial em que o backdoor recebe o comando de lançamento;
- “Viver” Estado, em que o backdoor se conecta ao C&Servidor C, esperando por um comando;
- Modo dormir;
- Estado de recebimento, em que o backdoor aceita comandos do C&Servidor C;
- Estado operacional em que o backdoor executa comandos;
- Estado de envio, em que os resultados da execução do comando são enviados aos atacantes.