APT34 使用新的 Saitama 后门针对约旦政府

这段时间，一封针对约旦外交部政府官员的可疑电子邮件。该电子邮件包含一个恶意 Excel 文档，其中包含一个名为Saitama的新后门。经过调查，将这次攻击归因于已知的伊朗演员 APT34。

APT34 也称为 OilRig/COBALT GYPSY/IRN2/HELIX KITTEN，是一个伊朗威胁组织，至少自 2014 年以来一直以中东国家和全球受害者为目标。该组织以专注于金融、政府、能源、化学和电信行业。

恶意电子邮件文件

恶意电子邮件通过 Microsoft Outlook 帐户发送给受害者，发件人通过使用其徽章作为签名假装是约旦政府的人。

Excel文档

Excel 附件包含一个执行恶意活动的宏。该文档有一张试图说服受害者启用宏的图像。

启用宏后，图片替换为约旦政府的国徽

埼玉后门——有限状态机

丢弃的有效载荷是一个用 .Net 编写的小后门。pdb 路径：E:SaitamaSaitama.AgentobjReleaseSaitama.Agent.pdb。

Saitama 后门滥用 DNS 协议进行命令和控制通信，利用各种技巧在合法流量之间伪装恶意流量。状态机图如下：

通过分析发现，证明该APT34组织确实利用Saitama 后门针对约旦政府。

中泊研安全技术团队通过“人+流程+数据+平台”，构建可持续安全监测和响应能力，为客户提供全方位的安全运营服务解决方案。

邮箱：[email protected]

网址：http://www.zbysec.com

原文始发于微信公众号（中泊研安全应急响应中心）：APT34 使用新的 Saitama 后门针对约旦政府