Rilevamento del Backdoor Saitama: APT34 Punta Nuovo Malware al Ministero degli Esteri della Giordania

[post-views]
Maggio 13, 2022 · 3 min di lettura
Rilevamento del Backdoor Saitama: APT34 Punta Nuovo Malware al Ministero degli Esteri della Giordania

Hacker iraniani conosciuti come APT34 hanno lanciato una campagna di spear-phishing distribuendo una nuova backdoor chiamata Saitama. Questa volta, APT34 prende di mira funzionari del Ministero degli Esteri della Giordania. APT34 è associato ad altri soprannomi, come OilRig, Cobalt Gypsy IRN2 e Helix Kitten, ed è attivo almeno dal 2014, attaccando principalmente entità nel settore finanziario e governativo, nonché aziende e organizzazioni nei settori delle telecomunicazioni, energia e chimico.

Rilevare la Backdoor Saitama

La regola seguente, fornita da un attento sviluppatore del programma Threat Bounty Sohan G, consente una rapida individuazione delle attività malevole di APT34 all’interno del tuo ambiente:

Possibile recente attività di APT34 con obiettivo il governo giordano usando una nuova backdoor Saitama

La rilevazione è disponibile per le piattaforme 23 SIEM, EDR & XDR, allineata con l’ultimo framework MITRE ATT&CK® v.10, affrontando la tattica Sviluppo delle Risorse con Ottenere Capacità (T1588/T1588.001) come tecnica principale.

Cerchi soluzioni efficaci ma convenienti per aumentare le capacità di rilevamento di ransomware delle piattaforme di sicurezza esistenti nella tua organizzazione? Unisciti al programma Threat Bounty e accedi all’unico Mercato di Rilevamento delle Minacce dove i ricercatori possono monetizzare i loro contenuti.

Visualizza Rilevamenti Unisciti a Threat Bounty

Dettagli Backdoor Saitama

The Il team di ricerca di Malwarebytesriporta di una nuova backdoor, con alta probabilità operata da APT34, dato un certo numero di indicatori e somiglianze con attività precedenti di questo famigerato APT. Attore di minacce iraniano distribuisce la nuova variante di malware soprannominata Saitama attraverso una campagna di spear-phishing mirata ai funzionari del governo giordano. A fine aprile, gli analisti hanno avvertito su un’email malevola ricevuta da un diplomatico giordano. Gli avversari, imitando un rappresentante legittimo del Governo di Giordania, hanno inviato un’email con affermazioni false riguardanti una conferma richiesta con un maldoc allegato.

Il documento malevolo era un file Excel infarcito di macro. All’apertura del file, la vittima è invitata ad abilitare una macro, avviando processi come la creazione di un oggetto TaskService e l’invio di una notifica di ogni passo dell’esecuzione della macro al server tramite il protocollo DNS, rilasciando il carico malevolo “update.exe” e rendendolo persistente.

Il carico usato in questo attacco di spear-phishing è un binario scritto in .NET Saitama che sfrutta il protocollo DNS per le comunicazioni di comando e controllo (C2). Per nascondere il proprio traffico, gli operatori della backdoor utilizzano anche tecniche come la compressione e stabilire lunghi periodi di inattività casuali.

Iscriviti a Mercato di Rilevamento delle Minacce per potenziare le tue capacità di rilevamento e risposta alle minacce con l’esperienza collettiva della comunità mondiale di cybersecurity.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati