Nueva puerta trasera de Saitama dirigida a un funcionario del Ministerio de Relaciones Exteriores de Jordania

Se ha observado una campaña de spear-phishing dirigida al Ministerio de Relaciones Exteriores de Jordania lanzando una nueva puerta trasera sigilosa denominada Saitama.

Los investigadores de Malwarebytes y Fortinet FortiGuard Labs atribuyeron la campaña a un actor de amenazas de ciberespionaje iraní rastreado bajo el nombre de APT34, citando similitudes con campañas anteriores organizadas por el grupo.

"Al igual que muchos de estos ataques, el correo electrónico contenía un archivo adjunto malicioso", dijo Fred Gutiérrez, investigador de Fortinet . "Sin embargo, la amenaza adjunta no era un malware común y corriente. En cambio, tenía las capacidades y técnicas generalmente asociadas con amenazas persistentes avanzadas (APT)".

Se sabe que APT34, también conocido como OilRig, Helix Kitten y Cobalt Gypsy, está activo desde al menos 2014 y tiene un historial de golpear a los sectores de telecomunicaciones, gobierno, defensa, petróleo y finanzas en el Medio Oriente y África del Norte (MENA). ) a través de ataques de phishing dirigidos.

A principios de febrero, ESET vinculó al grupo a una operación de recopilación de inteligencia de larga duración dirigida a organizaciones diplomáticas, empresas de tecnología y organizaciones médicas en Israel, Túnez y los Emiratos Árabes Unidos.

map

El mensaje de phishing recién observado contiene un documento de Microsoft Excel armado, que se abre y solicita a una posible víctima que habilite macros, lo que lleva a la ejecución de una macro maliciosa de la aplicación Visual Basic (VBA) que elimina la carga del malware ("update.exe").

Además, la macro se encarga de establecer la persistencia del implante añadiendo una tarea programada que se repite cada cuatro horas.

Un binario basado en .NET, Saitama aprovecha el protocolo DNS para sus comunicaciones de comando y control (C2) como parte de un esfuerzo por disfrazar su tráfico, mientras emplea un enfoque de " máquina de estado finito " para ejecutar los comandos recibidos de un C2. servidor.

"Al final, esto básicamente significa que este malware está recibiendo tareas dentro de una respuesta de DNS", explicó Gutiérrez. La tunelización de DNS, como se le llama, permite codificar los datos de otros programas o protocolos en consultas y respuestas de DNS.

En la etapa final, los resultados de la ejecución del comando se envían posteriormente al servidor C2, con los datos exfiltrados integrados en una solicitud de DNS.

"Con la cantidad de trabajo invertido en el desarrollo de este malware, no parece ser del tipo que se ejecuta una vez y luego se elimina, como otros ladrones de información sigilosos", dijo Gutiérrez.

"Tal vez para evitar activar detecciones de comportamiento, este malware tampoco crea ningún método de persistencia. En su lugar, se basa en la macro de Excel para crear persistencia a través de una tarea programada".

 

Fuente: Thehackernews.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies