APT OilRig ของอิหร่านใช้ Backdoor ไซตามะใหม่

ในช่วงปลายเดือนเมษายน 2022, Fortinet and Malwarebytes security researchers discovered a malicious Excel document sent by the OilRig hacker group (also known as APT34, Helix Kitten, and Cobalt Gypsy) to a Jordanian diplomat to inject a new backdoor called Saitama.

The phishing email came from a hacker disguised as an employee of the IT department of the Ministry of Foreign Affairs. The attack was discovered after the recipient forwarded the email to a real IT employee to verify the authenticity of the email.

Like many of these attacks, the email contained a malicious attachment. อย่างไรก็ตาม, the attached threat was not ordinary malware. Instead, it had the capabilities and methods commonly associated with targeted attacks (APTs).พูดว่า Fortinet researcher Fred Gutierrez.

According to research notes provided by Fortinet, the macro uses WMI (Windows Management Instrumentation) to query its command and control (ค&ค) server and is capable of producing three files: a malicious PE file, a configuration file, and a legitimate DLL file. Written in .NET, ที่ Saitama backdoor uses the DNS protocol to communicate with C&C and exfiltrate data, which is the stealthiest method of communication. Methods of masking malicious packets in legitimate traffic are also used.

ฉันขอเตือนคุณว่าเรารายงานเรื่องนี้ด้วย Cross-platform ซิสโจ๊กเกอร์ backdoor attacks Windows, macOS และ Linux และนั่น แฮกเกอร์ส่งเรซูเม่ที่มีมัลแวร์ more_eggs ให้กับผู้สรรหาบุคลากร.

Malwarebytes also published a separate backdoor report, noting that the entire program flow is explicitly defined as a state machine. In simple words, the machine will change its state depending on the command sent to each state.

States include:

  1. The initial state in which the backdoor receives the launch command;
  2. Livestate, in which the backdoor connects to the C&เซิร์ฟเวอร์ซี, waiting for a command;
  3. Sleep mode;
  4. Receiving state, in which the backdoor accepts commands from the C&เซิร์ฟเวอร์ซี;
  5. Operational state in which the backdoor executes commands;
  6. Submission state, in which the results of command execution are sent to attackers.
Malwarebytes researchers believe that the backdoor targets a specific victim, and that the attacker has some knowledge of the internal infrastructure of the target’s systems.

เฮลก้า สมิธ

ฉันสนใจวิทยาการคอมพิวเตอร์มาโดยตลอด, โดยเฉพาะความปลอดภัยของข้อมูลและธีม, ซึ่งเรียกกันในปัจจุบันว่า "วิทยาศาสตร์ข้อมูล", ตั้งแต่วัยรุ่นตอนต้นของฉัน. ก่อนจะมาอยู่ในทีมกำจัดไวรัสในตำแหน่งหัวหน้าบรรณาธิการ, ฉันทำงานเป็นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ในหลายบริษัท, รวมถึงหนึ่งในผู้รับเหมาของ Amazon. ประสบการณ์อื่น: ฉันได้สอนในมหาวิทยาลัยอาร์เดนและรีดดิ้ง.

ทิ้งคำตอบไว้

เว็บไซต์นี้ใช้ Akismet เพื่อลดสแปม. เรียนรู้วิธีประมวลผลข้อมูลความคิดเห็นของคุณ.

ปุ่มกลับไปด้านบน