#Saitama #Malware #APT34
به گزارش Malwrebytes تیم APT34 ایرانی، اقدام به عملیات APT کرده بر روی یک مقام وزارت خارجه اردن رو هدف قرار داد که بواسطه یک ایمیل و فایل XLS که Attach شده در ایمیل، اقدام به ایجاد دسترسی کرده است.
زمانی که قربانی فایل XLS رو باز کرده و گزینه Enable Content رو فعال نماید، یک Macro مخرب فعال شده و فایل مخربی با نام update.exe رو Drop خواهد کرد.
اما نکته جالب توجه این Macro، استفاده از تکنیکی به نام Saitama است ظاهرا ابداع خود تیم APT34 بوده و تکنیکی برای ایجاد DNS Tunneling و ارسال فرمان مبتنی بر DNS بوده که در قسمت FQDN و بر روی زیر دامنه انجام کد گذاری میکند.
oxn009lc7n5887k96c4zfckes6uif.rootdomain.com
زمانی که Backdoor فعال میشود، به FQDN یک درخواست DNS ارسال کرده و مقدار IP رو دریافت میکند، این IPv4 مبتنی بر Octet مفهومی رو برای C2 معنا میکند، برای مثال آدرس زیر
70.119.104.111 - 97.109.105.49
اعداد کد Octet هستند که به کاراکترهای ASCII ترجمه میشوند، برای مثال w=119 ، h=104 ، o=111 و i=105 است که نهایتا کلمه whoami رو از خط فرمان (C2) به Backdoor ارسال میکند.
به گزارش Malwrebytes تیم APT34 ایرانی، اقدام به عملیات APT کرده بر روی یک مقام وزارت خارجه اردن رو هدف قرار داد که بواسطه یک ایمیل و فایل XLS که Attach شده در ایمیل، اقدام به ایجاد دسترسی کرده است.
زمانی که قربانی فایل XLS رو باز کرده و گزینه Enable Content رو فعال نماید، یک Macro مخرب فعال شده و فایل مخربی با نام update.exe رو Drop خواهد کرد.
اما نکته جالب توجه این Macro، استفاده از تکنیکی به نام Saitama است ظاهرا ابداع خود تیم APT34 بوده و تکنیکی برای ایجاد DNS Tunneling و ارسال فرمان مبتنی بر DNS بوده که در قسمت FQDN و بر روی زیر دامنه انجام کد گذاری میکند.
oxn009lc7n5887k96c4zfckes6uif.rootdomain.com
زمانی که Backdoor فعال میشود، به FQDN یک درخواست DNS ارسال کرده و مقدار IP رو دریافت میکند، این IPv4 مبتنی بر Octet مفهومی رو برای C2 معنا میکند، برای مثال آدرس زیر
70.119.104.111 - 97.109.105.49
اعداد کد Octet هستند که به کاراکترهای ASCII ترجمه میشوند، برای مثال w=119 ، h=104 ، o=111 و i=105 است که نهایتا کلمه whoami رو از خط فرمان (C2) به Backdoor ارسال میکند.