【安全资讯】伊朗APT组织使用定制化TONEDEAF后门针对美国

Intezer研究人员最近发现了APT34使用新的工具集进行活动。根据发现的网络钓鱼文件，研究人员认为攻击的目标是Westat的雇员或Westat美国客户。恶意钓鱼文件为主题为"员工满意度调查"的survey.xls文档，表格内容初始显示空白，仅当受害者启用宏后，才会显示内容，并解压缩一个zip文件到临时文件夹中，提取名为"client update.exe"可执行文件并将其安装到C盘下。该恶意文件是TONEDEAF后门的高度修改版(被研究人员称为TONEDEAF2.0)。其与原始的TONEDEAF相比，功能减少，仅包含任意Shell执行功能，并且不支持任何预定义命令。除此之外，也更隐蔽，包含诸如动态导入、字符串解码和受害者欺骗技巧。后门使用HTTP进行C2通信，并具有自定义编码和握手机制。值得注意的是后门在HTTP消息中使用Windows Phone User-Agent值；在C2响应中查找带有特殊类名的HTTP div元素来提取攻击命令，并使用"cmd U c"来执行命令。