APT34 使用新的 Saitama 后门针对约旦政府

admin 2022年5月24日10:01:13安全新闻评论23 views659字阅读2分11秒阅读模式
这段时间,一封针对约旦外交部政府官员的可疑电子邮件。该电子邮件包含一个恶意 Excel 文档,其中包含一个名为Saitama的新后门。经过调查,将这次攻击归因于已知的伊朗演员 APT34。
APT34 也称为 OilRig/COBALT GYPSY/IRN2/HELIX KITTEN,是一个伊朗威胁组织,至少自 2014 年以来一直以中东国家和全球受害者为目标。该组织以专注于金融、政府、能源、化学和电信行业。
APT34 使用新的 Saitama 后门针对约旦政府
恶意电子邮件文件
恶意电子邮件通过 Microsoft Outlook 帐户发送给受害者,发件人通过使用其徽章作为签名假装是约旦政府的人。
APT34 使用新的 Saitama 后门针对约旦政府
Excel文档
Excel 附件包含一个执行恶意活动的宏。该文档有一张试图说服受害者启用宏的图像。
APT34 使用新的 Saitama 后门针对约旦政府
启用宏后,图片替换为约旦政府的国徽
APT34 使用新的 Saitama 后门针对约旦政府


埼玉后门——有限状态机

丢弃的有效载荷是一个用 .Net 编写的小后门。pdb 路径:E:SaitamaSaitama.AgentobjReleaseSaitama.Agent.pdb
Saitama 后门滥用 DNS 协议进行命令和控制通信,利用各种技巧在合法流量之间伪装恶意流量。状态机图如下:
APT34 使用新的 Saitama 后门针对约旦政府
通过分析发现,证明该APT34组织确实利用Saitama 后门针对约旦政府。

中泊研安全技术团队通过“人+流程+数据+平台”,构建可持续安全监测和响应能力,为客户提供全方位的安全运营服务解决方案。
邮箱:[email protected]
网址:http://www.zbysec.com

原文始发于微信公众号(中泊研安全应急响应中心):APT34 使用新的 Saitama 后门针对约旦政府

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月24日10:01:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  APT34 使用新的 Saitama 后门针对约旦政府 http://cn-sec.com/archives/1042374.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: