Detecção de Backdoor Saitama: APT34 Mira Novo Malware no Ministério das Relações Exteriores da Jordânia

Hackers iranianos conhecidos como APT34 lançaram uma campanha de spear-phishing distribuindo uma nova backdoor chamada Saitama. Desta vez, o APT34 tem como alvo oficiais do Ministério das Relações Exteriores da Jordânia. O APT34 está associado a outros apelidos, como OilRig, Cobalt Gypsy IRN2 e Helix Kitten, e está ativo desde pelo menos 2014, atacando principalmente entidades no setor financeiro e governamental, além de empresas e organizações nos setores de telecomunicações, energia e produtos químicos.

Detectar Backdoor Saitama

A regra abaixo, fornecida por um desenvolvedor atento do Programa de Recompensa por Ameaças Sohan G, permite a rápida detecção da atividade maliciosa do APT34 em seu ambiente:

Possível atividade recente do APT34 direcionada ao Governo da Jordânia usando uma nova backdoor Saitama

A detecção está disponível para as 23 plataformas SIEM, EDR & XDR, alinhada com a última versão do framework MITRE ATT&CK® v.10, abordando a tática de Desenvolvimento de Recursos com Obtenção de Capacidades (T1588/T1588.001) como técnica principal.

Você está procurando soluções eficazes e econômicas para aumentar a capacidade de detecção de ransomware das plataformas de segurança existentes em sua organização? Junte-se ao Programa de Recompensa por Ameaças e tenha acesso ao único Marketplace de Detecção de Ameaças onde pesquisadores podem monetizar seu conteúdo.

Ver Detecções Junte-se ao Programa de Recompensa por Ameaças

Detalhes da Backdoor Saitama

The Malwarebytes’ equipe de pesquisa relata uma nova backdoor, com grande probabilidade operada pelo APT34, dados vários indicadores e semelhanças com atividades anteriores deste notório APT. ator de ameaça iraniano distribui a nova cepa de malware chamada Saitama por meio de uma campanha de spear-phishing direcionada a oficiais do governo jordaniano. No final de abril, os analistas alertaram sobre um e-mail malicioso recebido por um diplomata jordaniano. Adversários, imitando um representante legítimo do Governo da Jordânia, enviaram um e-mail com falsas alegações sobre confirmação necessária com um maldoc anexado.

O documento malicioso era um arquivo Excel com macros. Ao abrir o arquivo, a vítima é incentivada a habilitar uma macro, iniciando processos como criar um objeto TaskService e enviar uma notificação de cada etapa da execução da macro para o servidor via protocolo DNS, largando a carga maliciosa “update.exe” e tornando-a persistente.

A carga útil usada neste ataque de spear-phishing é um binário escrito em .NET Saitama que abusa do protocolo DNS para comunicações de comando e controle (C2). Para ocultar seu tráfego, os operadores da backdoor também utilizam técnicas como compressão e estabelecendo tempos aleatórios de suspensão longos.

Inscreva-se no Marketplace de Detecção de Ameaças para potencializar suas capacidades de detecção e resposta a ameaças com a expertise coletiva da comunidade mundial de cibersegurança.