No Comments

Neue Saitama-Hintertür im Visier Beamter des jordanischen Außenministeriums

 

Es wurde beobachtet, dass eine Spear-Phishing-Kampagne gegen das jordanische Außenministerium eine neue heimliche Hintertür namens Saitama fallen ließ.

Forscher von Malwarebytes und Fortinet FortiGuard Labs schrieb die Kampagne einem iranischen Cyberspionage-Bedrohungsakteur zu, der unter dem Spitznamen APT34 verfolgt wird, und zitierte Ähnlichkeiten mit früheren Kampagnen der Gruppe.

„Wie viele dieser Angriffe enthielt die E-Mail einen böswilligen Anhang“, sagte Fortinet-Forscher Fred Gutierrez sagte. „Allerdings war die angehängte Bedrohung keine Malware der Sorte Garten. Stattdessen verfügte sie über die Fähigkeiten und Techniken, die normalerweise mit Advanced Persistent Threats (APTs) in Verbindung gebracht werden.“

APT34, auch bekannt als OilRig, Helix Kitten und Cobalt Gypsy, ist bekanntermaßen seit mindestens 2014 aktiv und kann auf eine Erfolgsbilanz im Telekommunikations-, Regierungs-, Verteidigungs-, Öl- und Finanzsektor im Nahen Osten und in Nordafrika (MENA ) über gezielte Phishing-Angriffe.

Anfang Februar dieses Jahres wurde ESET unentschieden die Gruppe zu einer langjährigen Operation zum Sammeln von Informationen, die sich an diplomatische Organisationen, Technologieunternehmen und medizinische Organisationen in Israel, Tunesien und den Vereinigten Arabischen Emiraten richtet.

Die neu beobachtete Phishing-Nachricht enthält ein bewaffnetes Microsoft Excel-Dokument, das ein potenzielles Opfer auffordert, Makros zu aktivieren, was zur Ausführung eines böswilligen VBA-Makros (Visual Basic Application) führt, das die Malware-Payload („update.exe“) ablegt.

Darüber hinaus kümmert sich das Makro darum, die Persistenz für das Implantat herzustellen, indem es eine geplante Aufgabe hinzufügt, die sich alle vier Stunden wiederholt.

Saitama ist eine .NET-basierte Binärdatei und nutzt das DNS-Protokoll für seine Command-and-Control-Kommunikation (C2), um seinen Datenverkehr zu verschleiern, während es ein „Finite-State-Machine“-Ansatz zur Ausführung von Befehlen, die von einem C2-Server empfangen werden.

„Am Ende bedeutet dies im Grunde, dass diese Malware Aufgaben innerhalb einer DNS-Antwort erhält“, erklärte Gutierrez. DNS-Tunneling, wie es genannt wird, ermöglicht es, die Daten anderer Programme oder Protokolle in DNS-Anfragen und -Antworten zu verschlüsseln.

In der letzten Phase werden die Ergebnisse der Befehlsausführung anschließend an den C2-Server zurückgesendet, wobei die exfiltrierten Daten in eine DNS-Anfrage eingebaut werden.

„Mit der Menge an Arbeit, die in die Entwicklung dieser Malware gesteckt wurde, scheint sie nicht der Typ zu sein, der einmal ausgeführt und dann selbst gelöscht wird, wie andere heimliche Infostealer“, sagte Gutierrez.

„Vielleicht um das Auslösen von Verhaltenserkennungen zu vermeiden, erstellt diese Malware auch keine Persistenzmethoden. Stattdessen verlässt sie sich auf das Excel-Makro, um über eine geplante Aufgabe Persistenz zu erstellen.“

 

Source: TheHackerNews

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.