伊朗 APT OilRig 使用新的 Saitama 后门
四月下旬 2022, Fortinet 和 Malwarebytes 安全研究人员发现了 OilRig 黑客组织发送的恶意 Excel 文档 (也称为 APT34, 螺旋小猫, 和钴吉普赛人) 向约旦外交官注入一个名为 Saitama 的新后门.
钓鱼邮件来自伪装成外交部IT部门员工的黑客. 该攻击是在收件人将电子邮件转发给真正的 IT 员工以验证电子邮件的真实性后发现的.
像许多这样的攻击, 该电子邮件包含恶意附件. 然而, 附加的威胁不是普通的恶意软件. 代替, 它具有通常与针对性攻击相关的能力和方法 (APT).说 财富网 研究员 弗雷德·古铁雷斯.
根据研究笔记 假如 通过 Fortinet, 宏使用 WMI (Windows 管理规范) 查询它的指挥和控制 (C&C) 服务器并且能够产生三个文件: 恶意PE文件, 一个配置文件, 和一个合法的 DLL 文件. 用 .NET 编写, 该 埼玉 后门使用DNS协议与C通信&C 和泄露数据, 这是最隐秘的交流方式. 还使用了在合法流量中屏蔽恶意数据包的方法.
让我提醒你,我们也报道了 跨平台 系统小丑 后门攻击Windows, macOS 和 Linux 然后 黑客向招聘人员发送带有 more_eggs 恶意软件的简历.
恶意软件字节 还发表了单独的后门报告, 注意到整个程序流程被明确定义为 状态机. 简单来说, 机器将根据发送到每个状态的命令更改其状态.
国家包括:
- 后门收到启动命令的初始状态;
- “居住” 状态, 其中后门连接到 C&C服务器, 等待命令;
- 睡眠模式;
- 接收状态, 其中后门接受来自 C 的命令&C服务器;
- 后门执行命令的运行状态;
- 提交状态, 其中命令执行的结果被发送给攻击者.
Malwarebytes 研究人员认为,后门针对特定的受害者, 并且攻击者对目标系统的内部基础设施有一定的了解.