Иранская APT OilRig использует новый бэкдор

Иранская APT OilRig использует новый бэкдор

Новый бэкдор Saitama был использован при атаке на государственного чиновника в министерстве иностранных дел Иордании.

В конце апреля 2022 года исследователи безопасности из компаний Fortinet и Malwarebytes обнаружили вредоносный документ Excel, который хакерская группа OilRig (также известная как APT34, Helix Kitten и Cobalt Gypsy) отправила иорданскому дипломату с целью внедрения нового бэкдора под названием Saitama.

Фишинговое письмо пришло от хакера, замаскировавшегося под сотудника IT-отдела министерства иностранных дел. Атака была раскрыта после того, как получатель переслал письмо настоящему сотруднику IT-отдела для проверки подлинности письма.

«Как и многие из этих атак, электронное письмо содержало вредоносное вложение», — сказал исследователь Fortinet Фред Гутьеррес . «Однако прикрепленная угроза не была обычным вредоносным ПО. Вместо этого она обладала возможностями и методами, обычно связанными с целевыми атаками (APT)».

Согласно заметкам исследователей, предоставленными компанией Fortinet, макрос использует WMI (Windows Management Instrumentation) для запроса к своему командно-контрольному серверу (C&C) и способен создавать три файла: вредоносный PE-файл, файл конфигурации и легитимный DLL-файл. Написанный на .NET, бэкдор Saitama использует протокол DNS для связи с C&C и эксфильтрации данных, что является наиболее скрытным методом связи. Также используются методы маскировки вредоносных пакетов в легитимном трафике.

Компания Malwarebytes также опубликовала отдельный отчет о бэкдоре, отметив, что весь поток программы определен в явном виде как конечный автомат . Простыми словами, машина будет менять свое состояние в зависимости от команды, отправленной в каждое состояние.

Состояния включают в себя:

  • Начальное состояние, в котором бэкдор принимает команду запуска;
  • “Живое” состояние, в котором бэкдор соединяется с C&C-сервером, ожидая команды;
  • Спящий режим;
  • Состояние приема, в котором бэкдор принимает команды от C&C-сервера;
  • Рабочее состояние, в котором бэкдор выполняет команды;
  • Состояние отправки, в котором результаты выполнения команд отправляются злоумышленникам.

Исследователи Malwarebytes полагают, что бэкдор нацелен на определенную жертву, а злоумышленник обладает определенными знаниями о внутренней инфраструктуре систем цели.

Недавно мы писали про другую хакерскую группировку APT35. Иранская группа разработчиков шифровальщиков была связана с рядом вымогательских атак, направленных на организации в Израиле, США, Европе и Австралии.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!