Malwarebytesは2022年5月10日(米国時間)、「APT34 targets Jordan Government using new Saitama backdoor|Malwarebytes Labs」において、「Saitama」と呼ばれる新しいバックドアを利用したサイバー攻撃を確認したと伝えた。同社はこのサイバー攻撃が「APT34」として特定されている持続的標的型攻撃(APT: Advanced Persistent Threat)グループによるものと分析しており、ヨルダン外務省の政府関係者を標的としていると説明している。

  • APT34 targets Jordan Government using new Saitama backdoor|Malwarebytes Labs

    APT34 targets Jordan Government using new Saitama backdoor|Malwarebytes Labs

このバックドアは使われているファイルパスから「Saitama」と呼ばれており、有限状態マシンとして実装されているという興味深い特徴を持っているという。その作りは、マシンに送られるコマンドによって状態を変化させるとのことだ。

また、通信にHTTPのような通信方式よりもステルス性の高いDNSプロトコルを使用していること、圧縮や長いランダムスリープなどの技法を巧妙に利用して正当なトラフィックの間に悪意あるトラフィックを紛れ込まれているなど、実装力の高さが指摘されている。

Malwarebytesは、このバックドアを使ったサイバー攻撃がAPT34によるものだと判断するいくつかの指標として、次の項目を挙げている。

  • 観測されたキャンペーンで使われていたMaldocが過去にAPT34によって使われたMaldocと類似している
  • 観測されたキャンペーンはヨルダン政府を標的としており、同じくヨルダン政府を標的とするAPT34と同じである
  • C&C通信にDNSプロトコルを使用する方法もAPT34がよく使う方法。これら通信にあまり一般的ではないBase32やBase36といったエンコーディングを使用している点もAPT34の特徴と一致している

APT34は、少なくとも2014年から活動が観測されており、中東諸国および世界の被害者を標的としているイランの脅迫グループとされている。金融、政府、エネルギー、化学、通信などの分野に焦点を当ててサイバー攻撃を実施していることが知られている。