APT34 使用新的 Saitama 后门针对约旦政府 admin 102075文章 87评论 2022年5月24日10:01:13评论69 views字数 659阅读2分11秒阅读模式 这段时间,一封针对约旦外交部政府官员的可疑电子邮件。该电子邮件包含一个恶意 Excel 文档,其中包含一个名为Saitama的新后门。经过调查,将这次攻击归因于已知的伊朗演员 APT34。 APT34 也称为 OilRig/COBALT GYPSY/IRN2/HELIX KITTEN,是一个伊朗威胁组织,至少自 2014 年以来一直以中东国家和全球受害者为目标。该组织以专注于金融、政府、能源、化学和电信行业。 恶意电子邮件文件 恶意电子邮件通过 Microsoft Outlook 帐户发送给受害者,发件人通过使用其徽章作为签名假装是约旦政府的人。 Excel文档 Excel 附件包含一个执行恶意活动的宏。该文档有一张试图说服受害者启用宏的图像。 启用宏后,图片替换为约旦政府的国徽 埼玉后门——有限状态机 丢弃的有效载荷是一个用 .Net 编写的小后门。pdb 路径:E:SaitamaSaitama.AgentobjReleaseSaitama.Agent.pdb。 Saitama 后门滥用 DNS 协议进行命令和控制通信,利用各种技巧在合法流量之间伪装恶意流量。状态机图如下: 通过分析发现,证明该APT34组织确实利用Saitama 后门针对约旦政府。 中泊研安全技术团队通过“人+流程+数据+平台”,构建可持续安全监测和响应能力,为客户提供全方位的安全运营服务解决方案。 邮箱:[email protected] 网址:http://www.zbysec.com 原文始发于微信公众号(中泊研安全应急响应中心):APT34 使用新的 Saitama 后门针对约旦政府 点赞 http://cn-sec.com/archives/1042374.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论