【安全资讯】伊朗APT34组织在最新攻击活动中使用SideTwist新后门
研究人员发现了来自伊朗的APT34组织的最新攻击活动,本次攻击针对的目标似乎是黎巴嫩,目的是旨在通过SideTwist后门从受感染系统中窃取敏感信息,
APT34(又名OilRig)组织主要攻击中东的金融,政府,能源,化工和电信行业,其行动与伊朗的战略利益保持一致 。在2018年的DNSpionage活动起,就观察到该组织通过伪造的工作机会文档来定向针对目标,这些文件是通过LinkedIn消息直接发送给的,而2021年1月所发现的攻击活动也是使用相同的方式,但暂不清楚文件的交付方式是什么。
恶意文档于2021年1月10日从黎巴嫩上传到VirusTotal,该文档提供了位于美国的一家名为Ntiva IT咨询公司的不同职位信息,
2021年1月10日的恶意文档诱饵
文档只在激活嵌入式恶意宏后才会触发感染链,最终在目标计算机上部署名为“ SideTwist”的后门,完整的感染链如下:
感染流程
SideTwist是APT34组织所使用的新后门,SideTwist的功能包括下载文件,上传文件和执行Shell命令,功能相对简单。
本次攻击中所使用的恶意宏和SideTwist后门,包括针对的目标和操作的TTP都与APT34先前的活动保持一致。
宏代码中使用相同的变量名
结论:
APT34组织没有丝毫放缓攻击的迹象,该组织通过进攻性网络行动推进其在中东的政治议程,并将重点放在黎巴嫩。该组织通过使用新工具或更新已有的工具库,以最大程度地减少安全厂商对其工具的检测。
失陷指标(IOC)3
这么重要的IOC情报,赶紧
登录
来看看吧~
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享