伊朗 APT OilRig 使用新的 Saitama 後門

四月下旬 2022, Fortinet 和 Malwarebytes 安全研究人員發現了 OilRig 黑客組織發送的惡意 Excel 文檔 (也稱為 APT34, 螺旋小貓, 和鈷吉普賽人) 向約旦外交官注入一個名為 Saitama 的新後門.

釣魚郵件來自偽裝成外交部IT部門員工的黑客. 攻擊是在收件人將電子郵件轉發給真正的 IT 員工以驗證電子郵件的真實性後發現的.

像許多這樣的攻擊, 該電子郵件包含惡意附件. 然而, 附加的威脅不是普通的惡意軟件. 代替, 它具有通常與針對性攻擊相關的能力和方法 (APT).財富網 研究員 弗雷德·古鐵雷斯.

根據研究筆記 假如 通過 Fortinet, 宏使用 WMI (Windows 管理規範) 查詢它的指揮和控制 (C&C) 服務器並且能夠產生三個文件: 惡意PE文件, 一個配置文件, 和一個合法的 DLL 文件. 用 .NET 編寫, 該 埼玉 後門使用DNS協議與C通信&C 和洩露數據, 這是最隱秘的交流方式. 還使用了在合法流量中屏蔽惡意數據包的方法.

讓我提醒你,我們也報導了 跨平台 系統小丑 後門攻擊Windows, macOS 和 Linux 然後 黑客向招聘人員發送帶有 more_eggs 惡意軟件的簡歷.

惡意軟件字節 還發表了單獨的後門報告, 注意到整個程序流程被明確定義為 狀態機. 簡單來說, 機器將根據發送到每個狀態的命令更改其狀態.

國家包括:

  1. 後門接收啟動命令的初始狀態;
  2. “居住” 狀態, 其中後門連接到 C&C服務器, 等待命令;
  3. 睡眠模式;
  4. 接收狀態, 其中後門接受來自 C 的命令&C服務器;
  5. 後門執行命令的運行狀態;
  6. 提交狀態, 其中命令執行的結果被發送給攻擊者.
Malwarebytes 研究人員認為,後門針對特定的受害者, 並且攻擊者對目標系統的內部基礎設施有一定的了解.

赫爾加·史密斯

我一直對計算機科學感興趣, 特別是數據安全和主題, 現在被稱為 "數據科學", 從我十幾歲起. 在加入病毒清除團隊擔任主編之前, 我曾在多家公司擔任網絡安全專家, 包括亞馬遜的一名承包商. 另一種體驗: 我在雅頓大學和雷丁大學任教.

發表評論

本網站使用的Akismet,以減少垃圾郵件. 了解您的意見如何處理數據.

返回頂部按鈕