יראַניאַן APT OilRig ניצט ניו סאַיטאַמאַ באַקדאָר
אין שפּעט אפריל 2022, פאָרטינעט און Malwarebytes זיכערהייט ריסערטשערז דיסקאַווערד אַ בייזע עקססעל דאָקומענט געשיקט דורך די OilRig העקער גרופּע (אויך באקאנט ווי APT34, העליקס קעצל, און קאָבאַלט ציגייַנער) צו אַ דזשאָרדאַניאַן דיפּלאָמאַט צו אַרייַנשפּריצן אַ נייַ באַקדאָר גערופֿן סאַיטאַמאַ.
די פישינג אימעיל איז געקומען פון א העקער פארשטעלט אלס אן אנגעשטעלטער פון דער IT דעפארטמענט פונעם אויסערן מיניסטעריום. די באַפאַלן איז דיסקאַווערד נאָך דער באַקומער פאָרווערדיד די E- בריוו צו אַ פאַקטיש IT אָנגעשטעלטער צו באַשטעטיקן די אָטאַנטיסיטי פון די E- בריוו.
לויט צו פאָרשונג הערות צוגעשטעלט דורך פאָרטינעט, דער מאַקראָו ניצט WMI (Windows מאַנאַגעמענט ינסטראַמענטיישאַן) to query its command and control (ג&ג) server and is capable of producing three files: a malicious PE file, a configuration file, and a legitimate DLL file. Written in .NET, די Saitama backdoor uses the DNS protocol to communicate with C&C and exfiltrate data, which is the stealthiest method of communication. Methods of masking malicious packets in legitimate traffic are also used.
לאמיך אייך דערמאנען, אז מיר האבן דאס אויך געמאלדן Cross-platform SysJoker backdoor attacks Windows, מאַקאָס און לינוקס און אַז כאַקערז שיקן רעזאַמייז מיט more_eggs מאַלוואַרע צו ריקרוטערז.
Malwarebytes also published a separate backdoor report, noting that the entire program flow is explicitly defined as a state machine. In simple words, the machine will change its state depending on the command sent to each state.
States include:
- The initial state in which the backdoor receives the launch command;
- “Live” state, in which the backdoor connects to the C&C סערווער, waiting for a command;
- Sleep mode;
- Receiving state, אין וואָס די באַקדאָר אַקסעפּץ קאַמאַנדז פון די סי&C סערווער;
- אַפּעריישאַנאַל שטאַט אין וואָס די באַקדאָר עקסאַקיוץ קאַמאַנדז;
- סאַבמישאַן שטאַט, אין וואָס די רעזולטאַטן פון באַפֿעלן דורכפירונג זענען געשיקט צו אַטאַקערז.
