사이타마 백도어 탐지: APT34, 요르단 외교부를 겨냥한 새로운 악성코드

[post-views]
5월 13, 2022 · 2 분 읽기
사이타마 백도어 탐지: APT34, 요르단 외교부를 겨냥한 새로운 악성코드

APT34로 알려진 이란 해커들은 Saitama라는 새로운 백도어를 배포하는 스피어 피싱 캠페인을 시작했습니다. 이번에 APT34는 요르단 외무부 관리들을 대상으로 삼았습니다. APT34는 OilRig, Cobalt Gypsy IRN2, Helix Kitten 등의 다른 이름과 관련이 있으며, 2014년 이후 금융 및 정부 기관뿐만 아니라 통신, 에너지, 화학 산업의 기업 및 조직을 주로 공격해왔습니다.

Saitama 백도어 탐지

아래의 규칙은, 예리한 위협 현상금 프로그램 개발자가 제공한 것입니다. 소한 G, 귀하의 환경 내에서 APT34의 악의적 활동을 신속하게 탐지할 수 있게 합니다:

새로운 Saitama 백도어를 사용한 APT34의 최근 요르단 정부를 대상으로 한 활동 가능성

탐지는 Resource Development 전술과 Obtain Capabilities (T1588/T1588.001)를 주요 기법으로 하는 최신 MITRE ATT&CK® 프레임워크 v.10에 맞춰 23개 SIEM, EDR & XDR 플랫폼에서 가능합니다.

조직 내 보안 플랫폼의 랜섬웨어 탐지 기능을 향상시키기 위해 비용 효율적이면서도 효율적인 솔루션을 찾고 계십니까? 위협 현상금 프로그램에 참여하여 연구자들이 자신의 콘텐츠를 수익화할 수 있는 유일한 위협 탐지 마켓플레이스에 액세스하십시오.

탐지 보기 위협 현상금 프로그램 참여

Saitama 백도어 세부사항

The 멀웨어바이트의 연구팀은 여러 지표와 이전 활동과의 유사성을 고려할 때, APT34에 의해 작동될 가능성이 높은 새로운 백도어에 대해 보고하고 있습니다. 이란 위협 행위자 새로운 멀웨어 변종 Saitama를 요르단 정부 관리들을 대상으로 한 스피어 피싱 캠페인을 통해 유포합니다. 4월 말, 분석가들은 요르단 외교관에게 도착한 악성 이메일에 대해 경고했습니다. 적들은 요르단 정부의 합법적 대표를 가장하여 잘못된 주장과 함께 악성 문서가 첨부된 이메일을 보냈습니다.

악성 문서는 매크로가 포함된 Excel 파일이었습니다. 파일을 열면 피해자는 매크로를 활성화하도록 유도되어 TaskService 개체 생성 및 DNS 프로토콜을 통해 각 매크로 실행 단계의 알림을 서버로 전송하고, 멀웨어 페이로드 “update.exe”를 드롭하고 지속적으로 만드는 등의 프로세스를 시작합니다.

이 스피어 피싱 공격에 사용된 페이로드는 DNS 프로토콜을 명령 및 제어(C2) 통신에 악용하는 .NET 기반 바이너리 Saitama입니다. 트래픽을 은폐하기 위해 백도어 운영자들은 또한 압축 및 긴 무작위 대기 시간을 설정하는 기술을 활용합니다.

가입하기 위협 탐지 마켓플레이스 에 가입하여 전 세계 사이버 보안 커뮤니티의 집단적 전문 지식으로 위협 탐지 및 대응 능력을 강화하십시오.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물