Une campagne de harponnage ciblant le minist\u00e8re jordanien des Affaires \u00e9trang\u00e8res a \u00e9t\u00e9 observ\u00e9e laissant tomber une nouvelle porte d\u00e9rob\u00e9e furtive baptis\u00e9e Saitama.<\/p>\n
Chercheurs de Malwarebytes et Fortinet FortiGuard Labs attribu\u00e9<\/a> la campagne contre un acteur iranien de la menace de cyberespionnage suivi sous le nom d’APT34, citant des ressemblances avec des campagnes pass\u00e9es organis\u00e9es par le groupe.<\/p>\n “Comme beaucoup de ces attaques, l’e-mail contenait une pi\u00e8ce jointe malveillante”, a d\u00e9clar\u00e9 Fred Gutierrez, chercheur chez Fortinet. mentionn\u00e9<\/a>. “Cependant, la menace attach\u00e9e n’\u00e9tait pas un logiciel malveillant courant. Au lieu de cela, elle poss\u00e9dait les capacit\u00e9s et les techniques g\u00e9n\u00e9ralement associ\u00e9es aux menaces persistantes avanc\u00e9es (APT).”<\/p>\n APT34, \u00e9galement connu sous les noms de OilRig, Helix Kitten et Cobalt Gypsy, est connu pour \u00eatre actif depuis au moins 2014 et a fait ses preuves dans les secteurs des t\u00e9l\u00e9communications, du gouvernement, de la d\u00e9fense, du p\u00e9trole et de la finance au Moyen-Orient et en Afrique du Nord (MENA ) via des attaques de phishing cibl\u00e9es.<\/p>\n Plus t\u00f4t en f\u00e9vrier, ESET a li\u00e9 le groupe \u00e0 une op\u00e9ration de collecte de renseignements de longue date destin\u00e9e aux organisations diplomatiques, aux entreprises technologiques et aux organisations m\u00e9dicales en Isra\u00ebl, en Tunisie et aux \u00c9mirats arabes unis.<\/p>\n Le message de phishing r\u00e9cemment observ\u00e9 contient un document Microsoft Excel militaris\u00e9, s’ouvrant qui invite une victime potentielle \u00e0 activer des macros, conduisant \u00e0 l’ex\u00e9cution d’une macro d’application Visual Basic (VBA) malveillante qui supprime la charge utile du logiciel malveillant (“update.exe”).<\/p>\n De plus, la macro s’occupe d’\u00e9tablir la persistance de l’implant en ajoutant une t\u00e2che planifi\u00e9e qui se r\u00e9p\u00e8te toutes les quatre heures.<\/p>\n Un binaire bas\u00e9 sur .NET, Saitama exploite le protocole DNS pour ses communications de commande et de contr\u00f4le (C2) dans le cadre d’un effort pour d\u00e9guiser son trafic, tout en employant un “machine \u00e0 \u00e9tats finis<\/a>” approche d’ex\u00e9cution des commandes re\u00e7ues d’un serveur C2.<\/p>\n![\"Porte](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1652439561_216_La-nouvelle-porte-derobee-de-Saitama-a-cible-un-responsable.jpg\" "\\"Porte")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n