Pintu Belakang Saitama Baru Ditargetkan Pejabat dari Kementerian Luar Negeri Yordania

Saitama backdoor

Sebuah kampanye spear-phishing yang menargetkan kementerian luar negeri Yordania telah diamati menjatuhkan pintu belakang tersembunyi baru yang dijuluki Saitama.

Peneliti dari Malwarebytes dan Fortinet FortiGuard Labs mengaitkan kampanye tersebut dengan aktor ancaman spionase dunia maya Iran yang dilacak di bawah moniker APT34, mengutip kemiripan dengan kampanye sebelumnya yang dilakukan oleh kelompok tersebut.

“Seperti banyak dari serangan ini, email berisi lampiran berbahaya,” kata peneliti Fortinet, Fred Gutierrez. “Namun, ancaman yang dilampirkan bukanlah malware jenis taman. Sebaliknya, ia memiliki kemampuan dan teknik yang biasanya dikaitkan dengan ancaman persisten tingkat lanjut (APT).”

APT34, juga dikenal sebagai OilRig, Helix Kitten, dan Cobalt Gypsy, diketahui aktif setidaknya sejak 2014 dan memiliki rekam jejak di sektor telekomunikasi, pemerintahan, pertahanan, minyak, dan keuangan di Timur Tengah dan Afrika Utara (MENA). ) melalui serangan phishing yang ditargetkan.

Awal Februari ini, ESET mengikat kelompok itu ke operasi pengumpulan intelijen yang sudah berjalan lama yang ditujukan untuk organisasi diplomatik, perusahaan teknologi, dan organisasi medis di Israel, Tunisia, dan Uni Emirat Arab.

Pintu belakang Saitama

Pesan phishing yang baru diamati berisi dokumen Microsoft Excel yang dipersenjatai, pembukaan yang meminta calon korban untuk mengaktifkan makro, yang mengarah ke eksekusi makro Aplikasi Visual Basic (VBA) berbahaya yang menjatuhkan muatan malware (“update.exe”).

Lebih lanjut, makro menjaga kegigihan untuk implan dengan menambahkan tugas terjadwal yang berulang setiap empat jam.

Related Post :   CISA Mendesak Organisasi untuk Memperbaiki Kerentanan F5 BIG-IP yang Dieksploitasi secara Aktif

Biner berbasis .NET, Saitama memanfaatkan protokol DNS untuk komunikasi perintah-dan-kontrol (C2) sebagai bagian dari upaya untuk menyamarkan lalu lintasnya, sambil menggunakan pendekatan “mesin keadaan-terbatas” untuk mengeksekusi perintah yang diterima dari C2 server.

Keamanan cyber

“Pada akhirnya, ini pada dasarnya berarti bahwa malware ini menerima tugas di dalam respons DNS,” jelas Gutierrez. Tunneling DNS, demikian sebutannya, memungkinkan untuk mengkodekan data program atau protokol lain dalam kueri dan respons DNS.

Pada tahap terakhir, hasil eksekusi perintah selanjutnya dikirim kembali ke server C2, dengan data yang dieksfiltrasi dibangun ke dalam permintaan DNS.

“Dengan banyaknya pekerjaan yang dilakukan untuk mengembangkan malware ini, tampaknya itu bukan tipe yang dieksekusi sekali dan kemudian menghapus dirinya sendiri, seperti pencuri informasi tersembunyi lainnya,” kata Gutierrez.

“Mungkin untuk menghindari pemicu deteksi perilaku apa pun, malware ini juga tidak membuat metode persistensi apa pun. Sebaliknya, malware ini mengandalkan makro Excel untuk membuat persistensi melalui tugas terjadwal.”


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.