Se ha observado una campa\u00f1a de spear-phishing dirigida al Ministerio de Relaciones Exteriores de Jordania lanzando una nueva puerta trasera sigilosa denominada Saitama.<\/p>\n
Investigadores de Malwarebytes y Fortinet FortiGuard Labs atribuido<\/a> la campa\u00f1a a un actor de amenazas de espionaje cibern\u00e9tico iran\u00ed rastreado bajo el nombre de APT34, citando similitudes con campa\u00f1as pasadas organizadas por el grupo.<\/p>\n “Al igual que muchos de estos ataques, el correo electr\u00f3nico conten\u00eda un archivo adjunto malicioso”, dijo Fred Guti\u00e9rrez, investigador de Fortinet. dicho<\/a>. “Sin embargo, la amenaza adjunta no era un malware com\u00fan y corriente. En cambio, ten\u00eda las capacidades y t\u00e9cnicas generalmente asociadas con amenazas persistentes avanzadas (APT)”.<\/p>\n Se sabe que APT34, tambi\u00e9n conocido como OilRig, Helix Kitten y Cobalt Gypsy, est\u00e1 activo desde al menos 2014 y tiene un historial de golpear a los sectores de telecomunicaciones, gobierno, defensa, petr\u00f3leo y finanzas en el Medio Oriente y \u00c1frica del Norte (MENA). ) a trav\u00e9s de ataques de phishing dirigidos.<\/p>\n A principios de febrero, ESET vincul\u00f3 al grupo a una operaci\u00f3n de recopilaci\u00f3n de inteligencia de larga duraci\u00f3n dirigida a organizaciones diplom\u00e1ticas, empresas de tecnolog\u00eda y organizaciones m\u00e9dicas en Israel, T\u00fanez y los Emiratos \u00c1rabes Unidos.<\/p>\n El mensaje de phishing reci\u00e9n observado contiene un documento de Microsoft Excel armado, que se abre y solicita a una posible v\u00edctima que habilite macros, lo que lleva a la ejecuci\u00f3n de una macro maliciosa de la aplicaci\u00f3n Visual Basic (VBA) que elimina la carga del malware (“update.exe”).<\/p>\n Adem\u00e1s, la macro se encarga de establecer la persistencia del implante a\u00f1adiendo una tarea programada que se repite cada cuatro horas.<\/p>\n Un binario basado en .NET, Saitama aprovecha el protocolo DNS para sus comunicaciones de comando y control (C2) como parte de un esfuerzo por disfrazar su tr\u00e1fico, mientras emplea un “m\u00e1quina de estados finitos<\/a>” enfoque para ejecutar comandos recibidos de un servidor C2.<\/p>\n![\"Puerta](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/1652439107_378_Nueva-puerta-trasera-de-Saitama-dirigida-a-un-funcionario-del.jpg\" "\\"Puerta")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n