【安全资讯】伊朗APT34组织在最新攻击活动中使用SideTwist新后门

研究人员发现了来自伊朗的APT34组织的最新攻击活动，本次攻击针对的目标似乎是黎巴嫩，目的是旨在通过SideTwist后门从受感染系统中窃取敏感信息，

APT34（又名OilRig）组织主要攻击中东的金融，政府，能源，化工和电信行业，其行动与伊朗的战略利益保持一致 。在2018年的DNSpionage活动起，就观察到该组织通过伪造的工作机会文档来定向针对目标，这些文件是通过LinkedIn消息直接发送给的，而2021年1月所发现的攻击活动也是使用相同的方式，但暂不清楚文件的交付方式是什么。

恶意文档于2021年1月10日从黎巴嫩上传到VirusTotal，该文档提供了位于美国的一家名为Ntiva IT咨询公司的不同职位信息，

  2021年1月10日的恶意文档诱饵 

文档只在激活嵌入式恶意宏后才会触发感染链，最终在目标计算机上部署名为“ SideTwist”的后门，完整的感染链如下：

  感染流程 

SideTwist是APT34组织所使用的新后门，SideTwist的功能包括下载文件，上传文件和执行Shell命令，功能相对简单。

本次攻击中所使用的恶意宏和SideTwist后门，包括针对的目标和操作的TTP都与APT34先前的活动保持一致。

  宏代码中使用相同的变量名 

结论：

APT34组织没有丝毫放缓攻击的迹象，该组织通过进攻性网络行动推进其在中东的政治议程，并将重点放在黎巴嫩。该组织通过使用新工具或更新已有的工具库，以最大程度地减少安全厂商对其工具的检测。