埼玉バックドア発見:APT34がヨルダン外務省に新たなマルウェアを狙う

[post-views]
5月 13, 2022 · 4 分で読めます
埼玉バックドア発見:APT34がヨルダン外務省に新たなマルウェアを狙う

APT34として知られるイランのハッカーが、新しいバックドア「Saitama」を配布するスピアフィッシングキャンペーンを開始しました。今回は、ヨルダンの外務省の職員をターゲットにしています。APT34は、OilRig、Cobalt Gypsy、IRN2、Helix Kittenなどの呼称でも知られ、少なくとも2014年以来、金融および政府機関、通信、エネルギー、化学分野の企業および組織を主に攻撃しています。

Saitama バックドアを検出

脅威バウンティプログラムの開発者によって提供された以下のルール Sohan G, は、APT34の悪意ある活動を迅速に検出することを可能にします。

新しいSaitamaバックドアを使用したヨルダン政府の標的と推定される最近のAPT34の活動

検出は、MITRE ATT&CK®フレームワークv.10に準拠した23のSIEM、EDR & XDRプラットフォームで利用可能で、Resource Developmentの戦術とObtain Capabilities(T1588/T1588.001)を主要な技法として扱っています。

組織内のセキュリティプラットフォームのランサムウェア検出能力を向上させるためのコスト効率が高く効果的なソリューションをお探しですか? 脅威バウンティプログラムに参加し、研究者がコンテンツを収益化できる唯一の脅威検出マーケットプレイスにアクセスしましょう。

検出を見る 脅威バウンティに参加する

Saitamaバックドアの詳細

The Malwarebytesの研究チームは、APT34が運用しているとされる新しいバックドアについて報告しています。この悪名高いAPTの過去の活動との類似点およびいくつかの指標に基づいて高い確率があるとされています。 イランの脅威アクター はヨルダン政府当局者を対象にしたスピアフィッシングキャンペーンを通じて「Saitama」と呼ばれる新しいマルウェアを配布しています。4月下旬、アナリストはヨルダンの外交官に届いた悪意のあるメールについて警告しました。敵対者は、ヨルダン政府の正当な代表者を装って、確認が必要との虚偽の主張を含むメールを送り、マルウェア付きの文書を添付していました。

悪意のある文書は、マクロが組み込まれたExcelファイルでした。ファイルを開くと、被害者はマクロを有効にするよう促され、TaskServiceオブジェクトを作成するプロセスを開始し、マクロ実行の各ステップをサーバーにDNSプロトコルを介して通知し、マルウェアペイロード「update.exe」をドロップし、持続化させます。

このスピアフィッシング攻撃で使用されるペイロードは、DNSプロトコルを悪用したコマンド&コントロール(C2)通信のための.NETで書かれたバイナリSaitamaです。そのトラフィックを隠すため、バックドア操作者は圧縮やランダムに長いスリープ時間の設定といった技術も利用します。

にサインアップ 脅威検出マーケットプレイス に登録し、世界的なサイバーセキュリティコミュニティの総合的な専門知識で脅威の検知と対応能力を強化しましょう。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事