新的Saitama后门攻击约旦外交部官员

据观察，一场针对约旦外交部的矛式网络钓鱼活动掉落了一个名为“Saitama”的新秘密后门。

Malwarebytes和Fortinet FortiGuard实验室的研究人员将此次活动归因于一名伊朗网络间谍威胁行为人，该行为人的绰号为APT34，与该组织过去的活动相似。

Fortinet研究员弗雷德·古铁雷斯（FredGutierrez）说：“与许多此类攻击一样，该电子邮件包含恶意附件。”“然而，附加的威胁不是普通的恶意软件。相反，它具有通常与高级持久性威胁（APT）相关的功能和技术”。

APT34又名OilRig、Helix Kitten和Cobalt Gippsy，至少自2014年以来一直活跃，并有通过有针对性的网络钓鱼攻击打击中东和北非（MENA）电信、政府、国防、石油和金融部门的记录。

今年2月初，ESET将该组织与针对以色列、突尼斯和阿拉伯联合酋长国的外交组织、技术公司和医疗组织的长期情报收集行动联系起来。

最近观察到的钓鱼邮件包含一个武器化的Microsoft Excel文档，打开该文档时会提示潜在受害者启用宏，从而导致执行恶意Visual Basic应用程序（VBA）宏，该宏会丢弃恶意软件负载（“update.exe”）。

此外，负责通过添加每四小时重复一次的计划任务来建立植入的持久性。

基于NET的二进制文件，Saitama利用DNS协议进行指挥与控制（C2）通信，作为伪装通信的一部分，同时采用“有限状态机”方法执行从C2服务器接收的命令。

古铁雷斯解释说：“最终，这基本上意味着该恶意软件正在DNS响应中接收任务。”所谓的DNS隧道，可以在DNS查询和响应中对其他程序或协议的数据进行编码。

在最后阶段，命令执行的结果随后发送回C2服务器，并将过滤后的数据内置到DNS请求中。

古铁雷斯说：“随着开发这种恶意软件的工作量的增加，它似乎不像其他秘密的信息窃取者那样，只需执行一次就可以删除自己”。

“可能是为了避免触发任何行为检测，此恶意软件也不会创建任何持久性方法。相反，它依赖Excel宏通过计划任务创建持久性”。