İranlı APT OilRig Yeni Saitama Arka Kapısını Kullanıyor
Nisan sonunda 2022, Fortinet ve Malwarebytes güvenlik araştırmacıları, OilRig hacker grubu tarafından gönderilen kötü amaçlı bir Excel belgesi keşfetti (APT34 olarak da bilinir, sarmal kedi yavrusu, ve Kobalt Çingene) Ürdünlü bir diplomata Saitama adında yeni bir arka kapı enjekte etmesi için.
Kimlik avı e-postası, Dışişleri Bakanlığı BT departmanı çalışanı kılığında bir bilgisayar korsanından geldi.. Saldırı, alıcının e-postanın gerçekliğini doğrulamak için e-postayı gerçek bir BT çalışanına iletmesinin ardından keşfedildi..
Araştırma notlarına göre sağlanan Fortinet tarafından, makro WMI kullanır (Windows Yönetim Araçları) komuta ve kontrolünü sorgulamak için (C&C) sunucu ve üç dosya üretebilir: kötü amaçlı bir PE dosyası, bir yapılandırma dosyası, ve meşru bir DLL dosyası. .NET'te yazılmıştır, NS Saitama arka kapı, C ile iletişim kurmak için DNS protokolünü kullanır&C ve sızma verileri, en gizli iletişim yöntemi hangisidir. Meşru trafikte kötü amaçlı paketleri maskeleme yöntemleri de kullanılır.
Bunu da bildirdiğimizi hatırlatmama izin verin. Çapraz platform sistem şakacısı arka kapı Windows'a saldırır, macOS ve Linux ve şu Bilgisayar korsanları, işe alım görevlilerine more_eggs kötü amaçlı yazılım içeren özgeçmişler gönderir.
kötü amaçlı yazılım baytları ayrıca ayrı bir arka kapı raporu yayınladı, tüm program akışının açıkça tanımlandığına dikkat ederek durum makinesi. basit kelimelerle, makine, her duruma gönderilen komuta bağlı olarak durumunu değiştirecektir..
Devletler şunları içerir::
- Arka kapının başlatma komutunu aldığı ilk durum;
- “Canlı” belirtmek, bildirmek, arka kapının C'ye bağlandığı&C sunucusu, komut bekliyorum;
- Uyku modu;
- alma durumu, arka kapının C'den gelen komutları kabul ettiği&C sunucusu;
- Arka kapının komutları yürüttüğü operasyonel durum;
- Gönderim durumu, komut yürütme sonuçlarının saldırganlara gönderildiği.
