Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Иранская APT OilRig использует новый бэкдор

18/05/22

Irahack-May-18-2022-09-09-46-85-AMВ конце апреля 2022 года исследователи безопасности из компаний Fortinet и Malwarebytes обнаружили вредоносный документ Excel, который хакерская группа OilRig (также известная как APT34, Helix Kitten и Cobalt Gypsy) отправила иорданскому дипломату с целью внедрения нового бэкдора под названием Saitama.

Фишинговое письмо пришло от хакера, замаскировавшегося под сотудника IT-отдела министерства иностранных дел. Атака была раскрыта после того, как получатель переслал письмо настоящему сотруднику IT-отдела для проверки подлинности письма.

«Как и многие из этих атак, электронное письмо содержало вредоносное вложение», — сказал исследователь Fortinet Фред Гутьеррес . «Однако прикрепленная угроза не была обычным вредоносным ПО. Вместо этого она обладала возможностями и методами, обычно связанными с целевыми атаками (APT)».

Согласно заметкам исследователей, предоставленными компанией Fortinet, макрос использует WMI (Windows Management Instrumentation) для запроса к своему командно-контрольному серверу (C&C) и способен создавать три файла: вредоносный PE-файл, файл конфигурации и легитимный DLL-файл. Написанный на .NET, бэкдор Saitama использует протокол DNS для связи с C&C и эксфильтрации данных, что является наиболее скрытным методом связи. Также используются методы маскировки вредоносных пакетов в легитимном трафике.

Компания Malwarebytes также опубликовала отдельный отчет о бэкдоре, отметив, что весь поток программы определен в явном виде как конечный автомат . Простыми словами, машина будет менять свое состояние в зависимости от команды, отправленной в каждое состояние.

Состояния включают в себя:

  • Начальное состояние, в котором бэкдор принимает команду запуска;
  • “Живое” состояние, в котором бэкдор соединяется с C&C-сервером, ожидая команды;
  • Спящий режим;
  • Состояние приема, в котором бэкдор принимает команды от C&C-сервера;
  • Рабочее состояние, в котором бэкдор выполняет команды;
  • Состояние отправки, в котором результаты выполнения команд отправляются злоумышленникам.

Исследователи Malwarebytes полагают, что бэкдор нацелен на определенную жертву, а злоумышленник обладает определенными знаниями о внутренней инфраструктуре систем цели.

Недавно мы писали про другую хакерскую группировку APT35. Иранская группа разработчиков шифровальщиков была связана с рядом вымогательских атак, направленных на организации в Израиле, США, Европе и Австралии.

Темы:ПреступленияAPT-группыИранбэкдорХакерские атаки
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...