Saitama Backdoor-Erkennung: APT34 zielt mit neuer Malware auf das jordanische Außenministerium
Inhaltsverzeichnis:
Iranische Hacker, bekannt als APT34, haben eine Spear-Phishing-Kampagne gestartet, die eine neuartige Hintertür namens Saitama verbreitet. Dieses Mal zielt APT34 auf Beamte des jordanischen Außenministeriums ab. APT34 ist mit anderen Spitznamen verbunden, wie OilRig, Cobalt Gypsy IRN2 und Helix Kitten, und ist seit mindestens 2014 aktiv. Meist greifen sie Finanz- und Regierungsorganisationen sowie Unternehmen im Bereich Telekommunikation, Energie und Chemie an.
Erkennung der Saitama-Hintertür
Die folgende Regel, bereitgestellt von einem engagierten Entwickler des Threat Bounty Programs Sohan G, ermöglicht die schnelle Erkennung der bösartigen Aktivitäten von APT34 in Ihrer Umgebung:
Die Erkennung ist für die 23 SIEM-, EDR- & XDR-Plattformen verfügbar, ausgerichtet auf das neueste MITRE ATT&CK® Framework v.10, und adressiert die Taktik der Ressourcenentwicklung mit Erlangung von Fähigkeiten (T1588/T1588.001) als Haupttechnik.
Suchen Sie nach kostengünstigen, aber effizienten Lösungen, um die Erkennungsfähigkeiten von Ransomware in den bestehenden Sicherheitsplattformen Ihrer Organisation zu erhöhen? Treten Sie dem Threat Bounty Program bei und erhalten Sie Zugang zu dem einzigen Marktplatz für Bedrohungserkennung, auf dem Forscher ihren Inhalt monetarisieren können.
Erkennungen anzeigen Threat Bounty beitreten
Details zur Saitama-Hintertür
The Malwarebytes’-Forschungsteam berichtet von einer neuartigen Hintertür, die mit hoher Wahrscheinlichkeit von APT34 betrieben wird, angesichts einer Reihe von Indikatoren und Ähnlichkeiten zu früheren Aktivitäten dieser berüchtigten APT. Iranischer Bedrohungsakteur verteilt den neuen Malware-Stamm namens Saitama mittels einer Spear-Phishing-Kampagne, die auf jordanische Regierungsbeamte abzielt. Ende April warnten die Analysten vor einer bösartigen E-Mail, die von einem jordanischen Diplomaten empfangen wurde. Die Angreifer, die einen legitimen Vertreter der Regierung Jordaniens nachahmen, schickten eine E-Mail mit falschen Behauptungen über erforderliche Bestätigungen und einem angebrachten schädlichen Dokument.
Das bösartige Dokument war eine mit Makros versehene Excel-Datei. Beim Öffnen der Datei wird das Opfer aufgefordert, ein Makro zu aktivieren, das Prozesse wie das Erstellen eines TaskService-Objekts startet und die Benachrichtigung jedes Schritts der Makroausführung über das DNS-Protokoll an den Server sendet. Es wird die Malware-Nutzlast „update.exe“ abgeworfen und dauerhaft gemacht.
Die Nutzlast, die in diesem Spear-Phishing-Angriff verwendet wird, ist ein in .NET geschriebener Saitama-Binary, der das DNS-Protokoll für Kommando-und-Kontroll-Kommunikationen (C2) missbraucht. Um seinen Datenverkehr zu verschleiern, nutzen die Hintertür-Operatoren auch Techniken wie Kompression und das Einführen langer zufälliger Schlafzeiten.
Melden Sie sich an für Threat Detection Marketplace um Ihre Fähigkeiten zur Erkennung und Reaktion auf Bedrohungen mit der kollektiven Expertise der weltweiten Cybersicherheits-Community zu stärken.
