巧妙なバックドア「Saitama」を発見、ヨルダン政府組織を攻撃

スポンサーリンク

2022/05/15 14:37
著者:後藤大地

サイバー攻撃

Malwarebytesは2022年5月10日(米国時間)、「APT34 targets Jordan Government using new Saitama backdoor|Malwarebytes Labs」において、「Saitama」と呼ばれる新しいバックドアを利用したサイバー攻撃を確認したと伝えた。同社はこのサイバー攻撃が「APT34」として特定されている持続的標的型攻撃(APT: Advanced Persistent Threat)グループによるものと分析しており、ヨルダン外務省の政府関係者を標的としていると説明している。

https://news.mynavi.jp/techplus/article/20220515-2345168/images/001.jpg
APT34 targets Jordan Government using new Saitama backdoor|Malwarebytes Labs

このバックドアは使われているファイルパスから「Saitama」と呼ばれており、有限状態マシンとして実装されているという興味深い特徴を持っているという。その作りは、マシンに送られるコマンドによって状態を変化させるとのことだ。

また、通信にHTTPのような通信方式よりもステルス性の高いDNSプロトコルを使用していること、圧縮や長いランダムスリープなどの技法を巧妙に利用して正当なトラフィックの間に悪意あるトラフィックを紛れ込まれているなど、実装力の高さが指摘されている。
Malwarebytesは、このバックドアを使ったサイバー攻撃がAPT34によるものだと判断するいくつかの指標として、次の項目を挙げている。

・観測されたキャンペーンで使われていたMaldocが過去にAPT34によって使われたMaldocと類似している
・観測されたキャンペーンはヨルダン政府を標的としており、同じくヨルダン政府を標的とするAPT34と同じである
・C&C通信にDNSプロトコルを使用する方法もAPT34がよく使う方法。これら通信にあまり一般的ではないBase32やBase36といったエンコーディングを使用している点もAPT34の特徴と一致している

APT34は、少なくとも2014年から活動が観測されており、中東諸国および世界の被害者を標的としているイランの脅迫グループとされている。金融、政府、エネルギー、化学、通信などの分野に焦点を当ててサイバー攻撃を実施していることが知られている。

https://news.mynavi.jp/techplus/article/20220515-2345168/

以下ネットの反応

ビジネスニュース速報がお送りします 2022/05/15(日) 22:09:08.55
埼玉風評被害w
ビジネスニュース速報がお送りします 2022/05/16(月) 03:49:50.37
日本人が関与してるのか?
ビジネスニュース速報がお送りします 2022/05/16(月) 06:24:46.17
サイタマによる世界征服か
ビジネスニュース速報がお送りします 2022/05/15(日) 21:55:46.84
ワンパンマンは引き伸ばしの糞バトル漫画
ビジネスニュース速報がお送りします 2022/05/16(月) 01:04:56
yum -i saitama
ビジネスニュース速報がお送りします 2022/05/15(日) 22:42:09
国際都市saitama
ビジネスニュース速報がお送りします 2022/05/15(日) 22:01:53.22
元は埼玉県の埼玉なのかワンパンマンのサイタマなのかどっちだよ?
ビジネスニュース速報がお送りします 2022/05/15(日) 22:24:12
Gunmaはサイバー攻撃じゃなくサイババ攻撃を仕掛けてくるよ
ビジネスニュース速報がお送りします 2022/05/15(日) 23:57:29.37
fushianaは無いのかな
ビジネスニュース速報がお送りします 2022/05/16(月) 07:20:26.24
ドクター秩父山の関連かも知れん
ビジネスニュース速報がお送りします 2022/05/15(日) 22:47:59
サイタマージャン
ビジネスニュース速報がお送りします 2022/05/15(日) 21:55:12.68
Saitama2000
ビジネスニュース速報がお送りします 2022/05/16(月) 06:31:28.36
ダサい玉
突如のバイキンデビュー
ビジネスニュース速報がお送りします 2022/05/15(日) 21:56:21.39
犯人は千葉
ビジネスニュース速報がお送りします 2022/05/16(月) 07:57:30.51
攻撃対象が違うだろうが。
ちゃんとレバノンを攻めろよ。
サイタマってだけあって、どうにも使えんやつだな。
ビジネスニュース速報がお送りします 2022/05/16(月) 05:50:35
これがアリならMatsudoもアリだろ
ビジネスニュース速報がお送りします 2022/05/16(月) 02:48:17.04
Tokyoを作ればすぐに無力化できそう
ビジネスニュース速報がお送りします 2022/05/15(日) 22:11:12
犯人日本人?
ビジネスニュース速報がお送りします 2022/05/15(日) 21:59:11.68
浦和埼玉って嫌な与野なかだな
ビジネスニュース速報がお送りします 2022/05/15(日) 23:52:14.22
ワンパンマン
ビジネスニュース速報がお送りします 2022/05/16(月) 00:52:49
何故、ダ埼玉なんだ・・・解せぬw
いや、ワラビスタンが関係してるのか・・・?
ビジネスニュース速報がお送りします 2022/05/15(日) 21:56:46.97
草でも食ってろってか深すぎるだろw
ビジネスニュース速報がお送りします 2022/05/15(日) 22:02:21.02
【サイタマ】俺のデスクトップ [ユーザー名][組織名][日付](ファイル詰め合わせ).zip
ビジネスニュース速報がお送りします 2022/05/15(日) 22:15:12
ワクチン
yamadaudon
ビジネスニュース速報がお送りします 2022/05/15(日) 21:58:32.70
winnyが話題の時代も
変な名前のウイルス流行した気がするな
ビジネスニュース速報がお送りします 2022/05/15(日) 22:46:25
あいつかっこ悪りいな
だってsaitamaだもーん

ダッサ!

ビジネスニュース速報がお送りします 2022/05/15(日) 21:58:31.05
うむ。徐々にネーミングのセンスが上がってることは理解した
ビジネスニュース速報がお送りします 2022/05/15(日) 22:17:10
DA SAITAMA
ビジネスニュース速報がお送りします 2022/05/16(月) 01:04:53
外人が付けたんならワンパンマンか
タイトルとURLをコピーしました