พบ Backdoor ใหม่ “Saitama” มุ่งเป้าไปที่กระทรวงต่างประเทศของ จอร์แดน

พบ Backdoor ใหม่มีชื่อเรียกว่า “Saitama” ใช้การโจมตีแบบ Spear-Phishing โดยมีเป้าหมายคือ 
กระทรวงต่างประเทศของ จอร์แดน โดยนักวิจัยกล่าวว่าน่าจะเป็นการโจมตีจากกลุ่มผู้ไม่ประสงค์ดี APT34  
เนื่องจากใช้การโจมตีแบบเดียวกัน  

ในข้อความฟิชชิ่งจะแนบไฟล์ Excel เมื่อผู้ใช้เปิดไฟล์จะทำให้เรียกใช้ มาโคร Visual Basic Application และแพร่กระจายเพย์โหลดของมัลแวร์ (“update.exe”)  โดย Saitama จะดรอป Backdoor ขนาดเล็กที่เขียนใน .Net  
พร้อม Path: pdb (Saitama.Agent.pdb) และใช้ประโยชน์จากโปรโตคอล DNS สำหรับการสื่อสารแบบ  
command-and-control (C2) เพื่อที่จะปิดบังการรับส่งข้อมูล และใช้วิธี “finite-state machine” เพื่อดำเนินการคำสั่งที่ได้รับจาก C2 เซิร์ฟเวอร์ 

IOCs 

Confirmation Receive Document.xls 
26884f872f4fae13da21fa2a24c24e963ee1eb66da47e270246d6d9dc7204c2b 

Maldoc: 

Saitama backdoor: 

update.exe 
e0872958b8d3824089e5e1cfab03d9d98d22b9bcb294463818d721380075a52d 

 
C2s: 

uber-asia[.]com 
asiaworldremit[.]com 
joexpediagroup[.]com 

คำแนะนำ 

  1. ควรหลีกเลี่ยงการคลิกลิงก์แปลกปลอมหรือน่าสงสัย และไม่โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ 
  1. ควรตรวจเช็คชื่ออีเมลของผู้ส่งว่าตรงกับชื่อของหน่วยงานหรือไม่ 
  1. ควรอัพเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด เพื่อลดการเกิดช่องโหว่ 
  1. ควรแสกนไวรัสอย่างสม่ำเสมอ 
  1. ควรสำรองไฟล์ข้อมูลที่สำคัญไว้บนระบบคลาวด์ (Cloud Platform) เช่น Google Cloud เป็นต้น 
  1. ตระหนักถึงความอันตรายทางไซเบอร์ 
  1. ควรตรวจสอบไฟล์ที่ดาวน์โหลดมาก่อนติดตั้งหรือทำการคลิก สามารถตรวจสอบไฟล์ได้ที่ 
    (https://www.virustotal.com/gui/home/upload) 

Ref : https://thehackernews.com/2022/05/new-saitama-backdoor-targeted-official.html 
 

Share