Аналитики угроз обнаружили новую атаку, приписываемую иранской хакерской группе, известной как группа APT34 или Oilrig, которая нацелилась на иорданского дипломата с помощью специально созданных инструментов.
Атака включала в себя передовые методы антиобнаружения и антианализа и имела некоторые характеристики, указывающие на длительную и тщательную подготовку.
Исследователи безопасности в Fortinet собрали доказательства и артефакты атаки в мае 2022 года и составили технический отчет, в котором освещаются новейшие методы и методы APT34.
Целевое фишинговое электронное письмо, увиденное Fortinet, было направлено иорданскому дипломату, выдававшему себя за коллегу в правительстве, с соответствующим поддельным адресом электронной почты.
Электронное письмо содержало вредоносное вложение Excel, содержащее код макроса VBA, который выполняется для создания трех файлов, вредоносного исполняемого файла, файла конфигурации и подписанной и чистой DLL.
Вредоносный исполняемый файл представляет собой двоичный файл .NET, который проверяет состояние программы и переводит себя в спящий режим на восемь часов после запуска. Аналитики считают, что хакеры, вероятно, установили эту задержку, исходя из предположения, что дипломат откроет электронную почту утром и уйдет через восемь часов, чтобы компьютер остался без присмотра.
В активном состоянии вредоносное ПО взаимодействует с субдоменами C2 с помощью инструмента алгоритма генерации доменов (DGA). DGA — это широко используемый метод, который делает действия вредоносного ПО более устойчивыми к удалению доменов и внесению в черный список. Таким образом, отчет Fortinet представляет ценность как для исследователей, так и для защитников, которым следует принять к сведению опубликованные индикаторы компрометации.