【図表】
悪質なメール
Excelドキュメント
マクロを有効にした後のExcelドキュメント
マクロ
.Netアセンブリのロード
タスクスキーマ
DNS通信の様子
ステートマシンのグラフィカルな図
メインドメインがハードコードされている
C&Cサーバーへの接続試行
状況によって異なるスリープ時間
サーバへのデータ送信
出典: https://blog.malwarebytes.com/threat-intelligence/2022/05/apt34-targets-jordan-government-using-new-saitama-backdoor/
【ブログ】
◆APT34 targets Jordan Government using new Saitama backdoor (Malwarebytes, 2022/05/10)
[APT34、新たな Saitama Backdoor を使ってヨルダン政府を標的にする]
https://blog.malwarebytes.com/threat-intelligence/2022/05/apt34-targets-jordan-government-using-new-saitama-backdoor/
【関連まとめ記事】
◆全体まとめ
◆攻撃組織 / Actor (まとめ)
◆標的型攻撃組織 / APT (まとめ)
◆APT34 / OilRig (まとめ)
https://malware-log.hatenablog.com/entry/APT34
◆マルウェア / Malware (まとめ)
◆バックドア / Backdoor (まとめ)
◆Saitama Backdoor (まとめ)
https://malware-log.hatenablog.com/entry/Saitama
【インディケータ情報】
■ハッシュ情報(Sha256) - Maldoc -
26884f872f4fae13da21fa2a24c24e963ee1eb66da47e270246d6d9dc7204c2b
(以上は Malwarebytes の情報: 引用元は https://blog.malwarebytes.com/threat-intelligence/2022/05/apt34-targets-jordan-government-using-new-saitama-backdoor/ )
■ハッシュ情報(Sha256) - Saitama backdoor(update.exe) -
e0872958b8d3824089e5e1cfab03d9d98d22b9bcb294463818d721380075a52d
(以上は Malwarebytes の情報: 引用元は https://blog.malwarebytes.com/threat-intelligence/2022/05/apt34-targets-jordan-government-using-new-saitama-backdoor/ )
■FQDN - C2 -
uber-asia.com
asiaworldremit.com
joexpediagroup.com
(以上は Malwarebytes の情報: 引用元は https://blog.malwarebytes.com/threat-intelligence/2022/05/apt34-targets-jordan-government-using-new-saitama-backdoor/ )
【検索】
google: 26884f872f4fae13da21fa2a24c24e963ee1eb66da47e270246d6d9dc7204c2b
google:news: 26884f872f4fae13da21fa2a24c24e963ee1eb66da47e270246d6d9dc7204c2b
google: site:virustotal.com 26884f872f4fae13da21fa2a24c24e963ee1eb66da47e270246d6d9dc7204c2b
google: e0872958b8d3824089e5e1cfab03d9d98d22b9bcb294463818d721380075a52d
google:news: e0872958b8d3824089e5e1cfab03d9d98d22b9bcb294463818d721380075a52d
google: site:virustotal.com e0872958b8d3824089e5e1cfab03d9d98d22b9bcb294463818d721380075a52d
【VT検索】
https://www.virustotal.com/gui/file/26884f872f4fae13da21fa2a24c24e963ee1eb66da47e270246d6d9dc7204c2b
https://www.virustotal.com/gui/file/e0872958b8d3824089e5e1cfab03d9d98d22b9bcb294463818d721380075a52d
https://www.virustotal.com/gui/domain/uber-asia.com
https://www.virustotal.com/gui/domain/asiaworldremit.com
https://www.virustotal.com/gui/domain/joexpediagroup.com