TT Malware Log

マルウェア / サイバー攻撃 / 解析技術に関する「個人」の調査・研究・参照ログ

APT34 targets Jordan Government using new Saitama backdoor

攻撃組織: APT34 / OilRig / Pipefish / Greenbug / Helix Kitten / Chrysene / Crambus / Cobalt Gyp Malware: Saitama (バックドア)

【図表】

悪質なメール

Excelドキュメント

マクロを有効にした後のExcelドキュメント

マクロ

.Netアセンブリのロード

タスクスキーマ

DNS通信の様子

ステートマシンのグラフィカルな図

メインドメインがハードコードされている

C&Cサーバーへの接続試行

状況によって異なるスリープ時間

サーバへのデータ送信
出典: https://blog.malwarebytes.com/threat-intelligence/2022/05/apt34-targets-jordan-government-using-new-saitama-backdoor/

【ブログ】

◆APT34 targets Jordan Government using new Saitama backdoor (Malwarebytes, 2022/05/10)
[APT34、新たな Saitama Backdoor を使ってヨルダン政府を標的にする]
https://blog.malwarebytes.com/threat-intelligence/2022/05/apt34-targets-jordan-government-using-new-saitama-backdoor/

【関連まとめ記事】

◆全体まとめ
　◆攻撃組織 / Actor (まとめ)
　　◆標的型攻撃組織 / APT (まとめ)

◆APT34 / OilRig (まとめ)
https://malware-log.hatenablog.com/entry/APT34

　◆マルウェア / Malware (まとめ)
　　◆バックドア / Backdoor (まとめ)

◆Saitama Backdoor (まとめ)
https://malware-log.hatenablog.com/entry/Saitama

【インディケータ情報】

■ハッシュ情報(Sha256) - Maldoc -

26884f872f4fae13da21fa2a24c24e963ee1eb66da47e270246d6d9dc7204c2b

(以上は Malwarebytes の情報: 引用元は https://blog.malwarebytes.com/threat-intelligence/2022/05/apt34-targets-jordan-government-using-new-saitama-backdoor/ )

■ハッシュ情報(Sha256) - Saitama backdoor(update.exe) -

e0872958b8d3824089e5e1cfab03d9d98d22b9bcb294463818d721380075a52d

(以上は Malwarebytes の情報: 引用元は https://blog.malwarebytes.com/threat-intelligence/2022/05/apt34-targets-jordan-government-using-new-saitama-backdoor/ )

■FQDN - C2 -

uber-asia.com
asiaworldremit.com
joexpediagroup.com

(以上は Malwarebytes の情報: 引用元は https://blog.malwarebytes.com/threat-intelligence/2022/05/apt34-targets-jordan-government-using-new-saitama-backdoor/ )

【検索】

google: 26884f872f4fae13da21fa2a24c24e963ee1eb66da47e270246d6d9dc7204c2b
google:news: 26884f872f4fae13da21fa2a24c24e963ee1eb66da47e270246d6d9dc7204c2b
google: site:virustotal.com 26884f872f4fae13da21fa2a24c24e963ee1eb66da47e270246d6d9dc7204c2b

google: e0872958b8d3824089e5e1cfab03d9d98d22b9bcb294463818d721380075a52d
google:news: e0872958b8d3824089e5e1cfab03d9d98d22b9bcb294463818d721380075a52d
google: site:virustotal.com e0872958b8d3824089e5e1cfab03d9d98d22b9bcb294463818d721380075a52d

【VT検索】

https://www.virustotal.com/gui/file/26884f872f4fae13da21fa2a24c24e963ee1eb66da47e270246d6d9dc7204c2b
https://www.virustotal.com/gui/file/e0872958b8d3824089e5e1cfab03d9d98d22b9bcb294463818d721380075a52d

https://www.virustotal.com/gui/domain/uber-asia.com
https://www.virustotal.com/gui/domain/asiaworldremit.com
https://www.virustotal.com/gui/domain/joexpediagroup.com

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023