Eine Spear-Phishing-Kampagne, die auf das jordanische Außenministerium abzielt, hat eine neue, getarnte Hintertür mit dem Namen Saitama entdeckt.
Forscher von Malwarebytes und Fortinet FortiGuard Labs führen die Kampagne auf einen iranischen Cyberspionage-Akteur zurück, der unter dem Namen APT34 bekannt ist.
„Wie viele dieser Angriffe enthielt die E-Mail einen bösartigen Anhang“, sagte Fortinet-Forscher Fred Gutierrez. „Die angehängte Bedrohung war jedoch keine gewöhnliche Malware. Stattdessen verfügte sie über die Fähigkeiten und Techniken, die normalerweise mit Advanced Persistent Threats (APTs) in Verbindung gebracht werden.“
APT34, auch bekannt unter den Namen OilRig, Helix Kitten und Cobalt Gypsy, ist seit mindestens 2014 aktiv und hat mit gezielten Phishing-Angriffen die Telekommunikations-, Regierungs-, Verteidigungs-, Öl- und Finanzbranche im Nahen Osten und Nordafrika (MENA) angegriffen.
Anfang Februar dieses Jahres brachte ESET die Gruppe mit einer lang andauernden geheimdienstlichen Sammelaktion in Verbindung, die auf diplomatische Organisationen, Technologieunternehmen und medizinische Einrichtungen in Israel, Tunesien und den Vereinigten Arabischen Emiraten abzielte.
Die neu entdeckte Phishing-Nachricht enthält ein waffenfähiges Microsoft Excel-Dokument, das ein potenzielles Opfer dazu auffordert, Makros zu aktivieren, was zur Ausführung eines bösartigen Visual Basic Application (VBA)-Makros führt, das die Malware-Nutzlast („update.exe“) abwirft.
Außerdem sorgt das Makro für die Persistenz des Implantats, indem es eine geplante Aufgabe hinzufügt, die alle vier Stunden wiederholt wird.
Die .NET-basierte Binärdatei Saitama nutzt das DNS-Protokoll für ihre Command-and-Control (C2)-Kommunikation, um ihren Datenverkehr zu verschleiern, und führt Befehle, die sie von einem C2-Server erhält, mit einem „Finite-State-Machine“-Ansatz aus.
„Im Endeffekt bedeutet das, dass diese Malware Aufgaben innerhalb einer DNS-Antwort erhält“, erklärt Gutierrez. Das so genannte DNS-Tunneling ermöglicht es, die Daten anderer Programme oder Protokolle in DNS-Anfragen und -Antworten zu verschlüsseln.
Im letzten Schritt werden die Ergebnisse der Befehlsausführung dann an den C2-Server zurückgeschickt, wobei die exfiltrierten Daten in eine DNS-Anfrage eingebaut werden.
„Bei der Menge an Arbeit, die in die Entwicklung dieser Malware gesteckt wurde, scheint sie nicht der Typ zu sein, der einmal ausgeführt wird und sich dann selbst löscht, wie andere heimliche Infodiebe“, so Gutierrez.
„Vielleicht um keine verhaltensbasierten Erkennungen auszulösen, entwickelt diese Malware auch keine Persistenzmethoden. Stattdessen verlässt sie sich auf das Excel-Makro, um die Persistenz über eine geplante Aufgabe herzustellen.