骚扰者黑客带着针对中东政府的新攻击卷土重来

中东先进持久威胁（APT）集团在本月初观察到的一系列新的竞选活动后，在中东地区的目标政府机构和与该地区地缘政治相关的全球政府实体两个月的中断后重新浮出水面。##总部位于桑尼维尔的企业安全公司Proofpoint将这一活动归因于一名出于政治动机的威胁行为人。

#根据其目标和之前的活动，据称TA402的行动动机与军事或巴勒斯坦国的目标一致。据信，这个威胁行动方活跃了十年，其打击组织的历史主要位于以色列和巴勒斯坦，跨越技术、电信、金融、学术界、军事、媒体和政府等多个垂直领域

“恶意存档的密码保护和地理隔离的交付方法是两种简单的反检测机制，威胁参与者可以使用它们绕过自动分析产品，”研究人员说。

感染链的最后一步涉及提取档案以丢弃一个名为LastConn的定制植入物，Proofpoint称该植入物是名为SharpStage的后门的升级版或新版本，Cybereason研究人员在2020年12月披露了该后门，作为针对中东的Molerats间谍活动的一部分

除了第一次运行LastConn时显示诱饵文档外，该恶意软件还严重依赖Dropbox API下载和执行云服务上托管的文件，此外还运行任意命令和捕获屏幕截图，截图结果随后被过滤回Dropbox