البرامج الضارة Menorah

قام عملاء الجرائم الإلكترونية المتقدمون الذين لهم علاقات بإيران، والذين يتم تتبعهم تحت الاسم المستعار "OilRig"، بتنفيذ عملية تصيد احتيالي مستهدفة تنشر نسخة جديدة من برنامج التهديد المعروف باسم Menorah. تم تصميم هذه البرامج الضارة خصيصًا لغرض واضح وهو التجسس عبر الإنترنت. إنه يتميز بالقدرة على التأكد من مواصفات جهاز الكمبيوتر المخترق، والوصول إلى الملفات ونقلها من النظام المذكور وتنزيل ملفات إضافية أو برامج ضارة.

ولا تزال التركيبة السكانية الدقيقة للضحايا غير مؤكدة في هذه المرحلة. ومع ذلك، فإن وجود تكتيكات خادعة يشير بقوة إلى أن واحدًا على الأقل من الأهداف الرئيسية ينحدر من منظمة تقع داخل حدود المملكة العربية السعودية.

يتم تسليم البرامج الضارة Menorah عبر Lure Documents

أدى هجوم التصيد الاحتيالي OilRig إلى نشر نسخة محدثة من البرنامج الضار SideTwist، مما يشير إلى جهود التطوير المستمرة. في أحدث تسلسل للعدوى، يتم استخدام مستند الطعم لإنشاء مهمة مجدولة للاستمرار على المدى الطويل مع إسقاط ملف قابل للتنفيذ في نفس الوقت يسمى "Menorah.exe". يقوم هذا الملف القابل للتنفيذ بدوره بإنشاء اتصال مع خادم بعيد، في انتظار المزيد من التوجيهات. تجدر الإشارة إلى أن خادم الأوامر والتحكم غير نشط حاليًا.

يُعرف OilRig أيضًا بأسماء مستعارة مثل APT34 وCobalt Gypsy وHazel Sandstorm وHelix Kitten، وهو كيان إيراني للتهديد المستمر المتقدم (APT) مع تركيز متخصص على مساعي جمع المعلومات السرية والتسلل بدقة والحفاظ على الوصول داخل الشبكات المحددة.

تفاصيل مهمة حول برنامج Menorah الضار تظهر أوجه التشابه بينه وبين تهديد آخر من البرامج الضارة

البرمجيات الخبيثة، المكتوبة بلغة .NET والتي يتم تسليمها عبر مستند التهديد، تخدم في المقام الأول غرض التجسس عبر الإنترنت وتفتخر بمجموعة واسعة من القدرات. هذا البرنامج غير الآمن قادر على تحديد الخصائص المحددة للكمبيوتر المستهدف، وسرد الدلائل والملفات، وتحميل الملفات بشكل انتقائي من النظام المخترق، وتنفيذ أوامر shell، وتنزيل الملفات على الجهاز المخترق.

عند إجراء تحليل شامل لمقارنة البرمجيات الخبيثة SideTwist مع Menorah، لاحظ الباحثون أوجه تشابه كبيرة بين الاثنين، لا سيما من حيث الوظائف. تعرض متغيرات البرامج الضارة هذه وظائف مستترة مماثلة لتنفيذ أوامر shell وتسهيل تحميل الملفات وتنزيلها.

ومع ذلك، وعلى النقيض من الإصدار السابق من SideTwist، يتضمن هذا التهديد الجديد ميزات إضافية لتعتيم حركة المرور إلى خادم القيادة والتحكم (C&C)، مما يعزز قدرته على التخفي لتجنب اكتشافه. في البداية، تتحقق البرامج الضارة من وجود وسيطة محددة أثناء التنفيذ لضمان سير التنفيذ بشكل صحيح. في حالة عدم وجود الوسيطة المحددة، سيتم إنهاء البرنامج الضار، وإيقاف عملياته. يعمل هذا الفحص الروتيني على الحفاظ على السلوك السري للبرامج الضارة وتحديد ما إذا كانت تعمل ضمن بيئة تحليلية، مثل وضع الحماية. إذا كانت الوسيطة تشير إلى أنها تعمل ضمن وضع الحماية، فستستمر البرامج الضارة بدون الوسيطة ولكنها ستنتهي ذاتيًا في النهاية.

بعد ذلك، تقوم البرمجيات الخبيثة بأخذ بصمات الجهاز المصاب عن طريق جمع معلومات مثل اسم الجهاز واسم المستخدم. يتم بعد ذلك نقل بصمة الإصبع هذه إلى خادم القيادة والسيطرة في شكل محتوى ضمن طلب HTTP.