![\"https:\/\/thehackernews.com\/images\/-7p1-YUYafqE\/YG8EhqDYMCI\/AAAAAAAACNw\/KpUdBfCubGELduB7KleHlE-BOH2wJv_tQCLcBGAsYHQ\/s0\/malware.jpg\"](\"https:\/\/thehackernews.com\/images\/-7p1-YUYafqE\/YG8EhqDYMCI\/AAAAAAAACNw\/KpUdBfCubGELduB7KleHlE-BOH2wJv_tQCLcBGAsYHQ\/s0\/malware.jpg\")
<\/p>\nUm ator de amea\u00e7as iraniano desencadeou uma nova campanha de ciberespionagem contra um poss\u00edvel alvo liban\u00eas com um backdoor capaz de vazarem informa\u00e7\u00f5es confidenciais de sistemas comprometidos.<\/p>\n
A empresa de seguran\u00e7a cibern\u00e9tica Check Point atribuiu a opera\u00e7\u00e3o ao APT34, citando semelhan\u00e7as com t\u00e9cnicas anteriores usadas pelo ator da amea\u00e7a, bem como com base em seu padr\u00e3o de vitimologia.<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
APT34 (tamb\u00e9m conhecido como OilRig) \u00e9 conhecido por suas campanhas de reconhecimento alinhadas com os interesses estrat\u00e9gicos do Ir\u00e3, principalmente atingindo os setores financeiro, governamental, de energia, qu\u00edmico e de telecomunica\u00e7\u00f5es no Oriente M\u00e9dio.<\/p>\n
O grupo normalmente recorre ao direcionamento de indiv\u00edduos por meio do uso de documentos de oferta de emprego bloqueados, entregues diretamente \u00e0s v\u00edtimas por meio de mensagens do LinkedIn. Embora a \u00faltima campanha tenha algumas das mesmas caracter\u00edsticas, o modo exato de entrega ainda n\u00e3o est\u00e1 claro.<\/p>\n
O documento do Word analisado pela Check Point – que foi carregado para o VirusTotal do L\u00edbano em 10 de janeiro afirma oferecer informa\u00e7\u00f5es sobre diferentes cargos em uma empresa de consultoria com sede nos Estados Unidos chamada Ntiva IT, apenas para acionar a cadeia de infec\u00e7\u00e3o ao ativar as macros maliciosas incorporadas, em \u00faltima an\u00e1lise, resultando na implanta\u00e7\u00e3o de um backdoor chamado de “SideTwist”.<\/p>\n
<\/p>\n
![\"https:\/\/thehackernews.com\/images\/-e08sBiLuHdU\/YG8FXBBrQBI\/AAAAAAAACN4\/IVM4h-aojNsToAt3D8QPC6_OnCpWJWILQCLcBGAsYHQ\/s0\/hack.jpg\"](\"https:\/\/thehackernews.com\/images\/-e08sBiLuHdU\/YG8FXBBrQBI\/AAAAAAAACN4\/IVM4h-aojNsToAt3D8QPC6_OnCpWJWILQCLcBGAsYHQ\/s0\/hack.jpg\")
<\/p>\n
<\/p>\n
Al\u00e9m de coletar informa\u00e7\u00f5es b\u00e1sicas sobre a m\u00e1quina da v\u00edtima, o backdoor estabelece conex\u00f5es com um servidor remoto para aguardar comandos adicionais que permitem baixar arquivos do servidor, fazer uploads de arquivos arbitr\u00e1rios e executar comandos shell, cujos resultados s\u00e3o postados de volta no servidor.<\/p>\n
A Check Point observa que o uso de novos pontos de backdoor para os esfor\u00e7os cont\u00ednuos do grupo para revisar e atualizar seu arsenal de carga \u00fatil ap\u00f3s um vazamento de suas ferramentas de hacking em 2019, que tamb\u00e9m afetou v\u00e1rios oficiais do Minist\u00e9rio de Intelig\u00eancia iraniano que estavam envolvidos com opera\u00e7\u00f5es APT34 .<\/p>\n
“O APT34 apoiado pelo Ir\u00e3 n\u00e3o mostra sinais de desacelera\u00e7\u00e3o, empurrando ainda mais sua agenda pol\u00edtica no Oriente M\u00e9dio, com um foco cont\u00ednuo no L\u00edbano usando opera\u00e7\u00f5es cibern\u00e9ticas ofensivas”, conforme os pesquisadores. “Enquanto mant\u00e9m seu modus operandi e reutiliza t\u00e9cnicas antigas, o grupo continua a criar ferramentas novas e atualizadas para minimizar a poss\u00edvel detec\u00e7\u00e3o de suas ferramentas por fornecedores de seguran\u00e7a.”<\/p>\n
<\/p>\n