Backdoor جدید سایتما، مسئول وزارت خارجه اردن


به این مطلب امتیاز دهید

یک کمپین فیشینگ که وزارت امور خارجه اردن را هدف قرار می دهد مشاهده شده است که یک Backdoor مخفیانه جدید به نام سایتما استفاده می کند.

محققان Malwarebytes و Fortinet FortiGuard Labs این کمپین را به یک عامل تهدید سایبری ایرانی که تحت نام APT34 شناخته می‌ شود، نسبت دادند و شباهت‌ هایی با کمپین‌ های قبلی که توسط این گروه ترتیب داده شده بود، ذکر کردند.

Fred Gutierrez، محقق Fortinet، گفت: مانند بسیاری از این حملات، ایمیل حاوی یک پیوست مخرب بود که دارای قابلیت‌ ها و تکنیک‌ هایی بود که معمولاً با تهدیدات پایدار پیشرفته (APT) مرتبط می‌ شدند.»

گروه APT34 که با نام‌ های OilRig، Helix Kitten و Cobalt Gypsy نیز شناخته می‌ شود، حداقل از سال 2014 فعال بوده و سابقه خرابکاری در بخش‌ های مخابراتی، دولتی، دفاعی، نفتی و مالی در خاورمیانه و شمال آفریقا دارد (MENA).

در اوایل فوریه امسال، ESET این گروه را به یک عملیات جمع آوری اطلاعات طولانی مدت با هدف سازمان های دیپلماتیک، شرکت های فناوری و سازمان های پزشکی در اسرائیل، تونس و امارات متحده عربی مرتبط کرد.

پیام فیشینگ تازه مشاهده شده حاوی یک فایل Excel است که با باز شدن آن از قربانی احتمالی می خواهد Macro ها را فعال کند و منجر به اجرای یک Macro مخرب Visual Basic Application (VBA) می شود که بدافزار (“update.exe”) را حذف می کند.

علاوه بر این، Macro با افزودن یک کار برنامه ریزی شده که هر چهار ساعت تکرار می شود، از ایجاد ماندگاری برای Implant مراقبت می کند.

سایتما که یک باینری مبتنی بر دات نت است که در حالی که از رویکرد “finite-state machine” برای اجرای دستورات دریافتی از یک C2 استفاده می کند، از پروتکل DNS برای ارتباطات فرمان و کنترل (C2) خود برای پنهان کردن ترافیک خود استفاده می کند

در مرحله آخر، نتایج اجرای دستور متعاقباً با داده های استخراج شده در یک درخواست DNS به سرور C2 بازگردانده می شود.

Gutierrez گفت: «با نوع کاری که برای توسعه این بدافزار انجام می‌ شود، به نظر نمی‌ رسد مانند سایر دزدهای اطلاعات مخفی، یک بار اجرا شود و سپس خودش را حذف کند.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.