Aktor ancaman Iran telah meluncurkan kampanye spionase siber baru terhadap kemungkinan target Lebanon dengan backdoor yang mampu mengekstrak informasi sensitif dari sistem yang dikompromikan.
Firma keamanan siber, Check Point, mengaitkan operasi tersebut dengan APT34, mengutip kemiripan dengan teknik sebelumnya yang digunakan oleh pelaku ancaman serta berdasarkan pola viktimologi.
APT34 (alias OilRig) dikenal karena kampanye pengintaiannya yang selaras dengan kepentingan strategis Iran, terutama mengenai industri keuangan, pemerintah, energi, kimia, dan telekomunikasi di Timur Tengah.
Grup tersebut biasanya menggunakan target individu melalui penggunaan dokumen tawaran pekerjaan palsu, dikirim langsung ke para korban melalui pesan LinkedIn, dan kampanye terbaru tidak terkecuali, meskipun cara pengirimannya masih belum jelas.
Dokumen Word yang dianalisis oleh Check Point mengklaim menawarkan informasi tentang posisi yang berbeda di perusahaan konsultan berbasis di AS bernama Ntiva IT, hanya untuk memicu rantai infeksi setelah mengaktifkan makro jahat yang disematkan, akhirnya menghasilkan pemasangan backdoor yang disebut “SideTwist”.
Selain mengumpulkan informasi dasar tentang mesin korban, backdoor tersebut membuat koneksi dengan server jarak jauh untuk menunggu perintah tambahan yang memungkinkannya mengunduh file dari server, mengunggah file sewenang-wenang, dan menjalankan perintah shell, yang hasilnya diposting kembali ke server.
Selengkapnya: The Hacker News
