חוקרי אבטחת מידע זיהו מתקפת סייבר המכוונת לארגונים וחברות במזרח התיכון, המשתמשת בנוזקה המפעילה דלת האחורית. מתקפת הסייבר יוחסה על ידי חוקרי Trend Micro – מוחמד פהמי, שריף מגדי ומחמוד זוהדי, לקבוצת הסייבר APT34. "המטרה העיקרית היא לגנוב את האישורים (שמות משתמשים וסיסמאות) של המשתמשים. אפילו במקרה של איפוס או שינוי סיסמה, מסוגלת הנוזקה לשלוח את האישורים החדשים להאקרים", נכתב בכתבה שפרסמו חוקרי Trend Micro.
לאחר ניתוח גרסת הדלת האחורית שנפרסה כחלק ממתקפת הסייבר, התגלה כי הנוזקה כוללת טכניקות סינון נוספות בהשוואה לגרסאות שנחקרו בעבר. נוזקה זו עלולה לעשות שימוש לרעה בחשבונות תיבת דואר שנפגעו ולשלוח נתונים גנובים מתיבות הדואר הפנימיות לחשבונות דואר חיצוניים הנשלטים על ידי ההאקרים.
מנקודת מבט טכנית מתחיל תהליך ההפצה וההדבקה של הנוזקה עם נוזקה אחרת בשם MrPerfectInstaller, האחראית על החדרת ארבעה קבצים שונים. לאחר ההחדרה משתמשים קבצים אלו במסנני הסיסמאות של מיקרוסופט כדי ליירט ו/או לאחזר אישורים של משתמשי הדומיין או מחשבונות מקומיים, לפני שיחלצו אותם באמצעות תעבורת דואר לגיטימית. הפונקציה הראשית של הדלת האחורית מקבלת את אישורי הדומיין התקפים כארגומנט ומשתמשת בו כדי להיכנס ל- Exchange Server ולהשתמש בו למטרת חילוץ נתונים. הפונקציה העיקרית של השלב הזה היא לקחת את הסיסמה הגנובה מהארגומנט ולשלוח אותה להאקרים כקובץ מצורף במייל. יש לציין כי נצפו מקרים בהם העבירו ההאקרים את המיילים הללו דרך שרתי Exchange ממשלתיים תוך שימוש בחשבונות חוקיים עם סיסמאות גנובות.
לפי TrendMicro, עשויים צוותי אבטחת מידע לתייג בטעות את הנוזקה כבטוחה בשל תקפותם של דומיינים ושל אישורי דואר.
קבוצת ההאקרים APT34 אינה היחידה המכוונת לארגונים במזרח התיכון. רק לפני מספר שבועות נצפתה קבוצת האקרים אחרת שהתגלתה על ידי TrendMicro אשר השתמשה בפתיונות בנושאים גיאו-פוליטיים של המזרח התיכון כדי להפיץ NjRAT (נוזקה המאפשרת שליטה וניהול מרוחק של תחנות קצה).
