Détection de la porte dérobée Saitama : APT34 vise un nouveau malware contre le ministère des Affaires étrangères de Jordanie
Table des matières :
Des hackers iraniens connus sous le nom de APT34 ont lancé une campagne de spear-phishing distribuant une nouvelle porte dérobée nommée Saitama. Cette fois, APT34 cible des responsables du ministère des Affaires étrangères de Jordanie. APT34 est associé à d’autres pseudonymes, tels que OilRig, Cobalt Gypsy IRN2, et Helix Kitten, et est actif depuis au moins 2014, attaquant principalement des entités dans les secteurs de la finance et du gouvernement, ainsi que des entreprises et organisations dans les secteurs des télécommunications, de l’énergie et des produits chimiques.
Détecter la porte dérobée Saitama
La règle ci-dessous, fournie par un développeur avisé du programme de primes aux menaces Sohan G, permet une détection rapide de l’activité malveillante de APT34 dans votre environnement :
La détection est disponible pour les 23 plateformes SIEM, EDR & XDR, alignée avec la dernière version du cadre MITRE ATT&CK® v.10, abordant la tactique de Développement des ressources avec Obtenir des capacités (T1588/T1588.001) comme technique principale.
Cherchez-vous des solutions rentables mais efficaces pour augmenter les capacités de détection de ransomware des plates-formes de sécurité existantes dans votre organisation ? Rejoignez le programme de primes aux menaces et accédez au seul marché de détection des menaces où les chercheurs peuvent monétiser leur contenu.
Voir les détections Rejoindre le programme de primes aux menaces
Détails de la porte dérobée Saitama
The Malwarebytes’ l’équipe de recherche rapporte une nouvelle porte dérobée, probablement opérée par APT34, étant donné un certain nombre d’indicateurs et de similitudes avec les activités précédentes de ce groupe APT notoire. acteur de menace iranien distribue la nouvelle souche de malware baptisée Saitama par le biais d’une campagne de spear-phishing visant des responsables gouvernementaux jordaniens. Fin avril, les analystes ont mis en garde contre un email malveillant reçu par un diplomate jordanien. Les adversaires, imitant un représentant légitime du gouvernement de Jordanie, ont envoyé un email avec de fausses allégations concernant une confirmation requise avec un document malveillant joint.
Le document malveillant était un fichier Excel rempli de macros. À l’ouverture d’un fichier, la victime est incitée à activer une macro, lançant des processus tels que la création d’un objet TaskService et l’envoi d’une notification de chaque étape d’exécution de macro au serveur via le protocole DNS, déposant la charge utile malveillante « update.exe » et la rendant persistante.
La charge utile utilisée dans cette attaque de spear-phishing est un binaire Saitama écrit en .NET qui abuse du protocole DNS pour les communications de commande et de contrôle (C2). Afin de dissimuler son trafic, les opérateurs de la porte dérobée utilisent également des techniques telles que la compression et l’établissement de temps de sommeil longs et aléatoires.
Inscrivez-vous pour Marché de la détection des menaces pour renforcer vos capacités de détection et de réponse aux menaces avec l’expertise collective de la communauté mondiale de la cybersécurité.
