研究人员发现了最近网络攻击中使用的一种新的伊朗恶意软件

一名伊朗威胁行动方对一个可能的黎巴嫩目标发起了新的网络间谍活动，该目标有一个后门，能够从受损系统中过滤敏感信息。

网络安全公司Check Point将此次行动归因于APT34，称其与威胁行为人之前使用的技术相似，并基于其受害者模式。

APT34（又名油轮）以其与伊朗的战略利益相一致的侦察活动而闻名，主要打击中东的金融、政府、能源、化工和电信业。

该组织通常会通过使用诱杀式求职文件来锁定个人，这些文件通过LinkedIn消息直接发送给受害者。尽管最新的活动也有一些相同的特点，但具体的交付方式仍不清楚。

通过检查点分析Word文档—；1月10日—日从黎巴嫩上传至VirusTotal；声称提供了一家名为Ntiva IT的美国咨询公司不同职位的信息，但在激活嵌入的恶意宏时触发了感染链，最终导致部署了一个名为“SideTwist”的后门

除了收集受害者机器的基本信息外，后门还与远程服务器建立连接，以等待其他命令，这些命令允许它从服务器下载文件、上载任意文件，并执行shell命令，这些命令的结果将发布回服务器。

研究人员说：“伊朗支持的APT34没有放缓的迹象，它进一步推动了其在中东的政治议程，持续关注黎巴嫩—；使用进攻性网络行动。”。“在保持其工作方式和重复使用旧技术的同时，该集团继续创建新的和更新的工具，以尽量减少安全供应商对其工具的可能检测。”