Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Иранская APT OilRig использует новый бэкдор (http://txgate.io:443/showthread.php?t=12418)

Artifact 02-23-2025 02:08 PM

Новый бэкдор Saitama был использован при атаке на государственного чиновника в министерстве иностранных дел Иордании.
https://www.securitylab.ru/upload/ib...619bc9dc28.jpg
В конце апреля 2022 года исследователи безопасности из компаний Fortinet и Malwarebytes обнаружили вредоносный документ Excel, который хакерская группа OilRig (также известная как APT34, Helix Kitten и Cobalt Gypsy) отправила иорданскому дипломату с целью внедрения нового бэкдора под названием Saitama.
Фишинговое письмо пришло от хакера, замаскировавшегося под сотудника IT-отдела министерства иностранных дел. Атака была раскрыта после того, как получатель переслал письмо настоящему сотруднику IT-отдела для проверки подлинности письма.
«Как и многие из этих атак, электронное письмо содержало вредоносное вложение», — сказал исследователь Fortinet Фред Гутьеррес . «Однако прикрепленная угроза не была обычным вредоносным ПО. Вместо этого она обладала возможностями и методами, обычно связанными с целевыми атаками (APT)».
Согласно заметкам исследователей, предоставленными компанией Fortinet, макрос использует WMI (Windows Management Instrumentation) для запроса к своему командно-контрольному серверу (C&C) и способен создавать три файла: вредоносный PE-файл, файл конфигурации и легитимный DLL-файл. Написанный на .NET, бэкдор Saitama использует протокол DNS для связи с C&C и эксфильтрации данных, что является наиболее скрытным методом связи. Также используются методы маскировки вредоносных пакетов в легитимном трафике.
Компания Malwarebytes также опубликовала отдельный отчет о бэкдоре, отметив, что весь поток программы определен в явном виде как конечный автомат . Простыми словами, машина будет менять свое состояние в зависимости от команды, отправленной в каждое состояние.
Состояния включают в себя:<ul><li>Начальное состояние, в котором бэкдор принимает команду запуска;</li>
</ul><ul><li>“Живое” состояние, в котором бэкдор соединяется с C&amp;C-сервером, ожидая команды;</li>
</ul><ul><li>Спящий режим;</li>
</ul><ul><li>Состояние приема, в котором бэкдор принимает команды от C&amp;C-сервера;</li>
</ul><ul><li>Рабочее состояние, в котором бэкдор выполняет команды;</li>
</ul><ul><li>Состояние отправки, в котором результаты выполнения команд отправляются злоумышленникам.</li>
</ul>Исследователи Malwarebytes полагают, что бэкдор нацелен на определенную жертву, а злоумышленник обладает определенными знаниями о внутренней инфраструктуре систем цели.
Недавно мы писали про другую хакерскую группировку APT35. Иранская группа разработчиков шифровальщиков была связана с рядом вымогательских атак, направленных на организации в Израиле, США, Европе и Австралии.


All times are GMT. The time now is 11:14 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.