Menorah Malware

Усъвършенствани киберпрестъпници с връзки с Иран, проследявани под псевдонима „OilRig“, извършват целенасочена фишинг операция, която внедрява нов вариант на заплашителен софтуер, известен като Menorah. Този конкретен зловреден софтуер е създаден с изричната цел на кибершпионаж. Той може да се похвали с възможността да установи спецификациите на компрометиран компютър, да осъществява достъп и да предава файлове от споменатата система и да изтегля допълнителни файлове или зловреден софтуер.

Точната демография на жертвите остава несигурна на този етап. Независимо от това, наличието на измамни тактики силно предполага, че поне една от основните цели идва от организация, разположена в границите на Саудитска Арабия.

Зловреден софтуер Menorah се доставя чрез Lure Documents

Фишинг атаката на OilRig води до внедряването на актуализиран вариант на зловреден софтуер SideTwist, което предполага продължаващи усилия за разработка. В най-новата поредица от инфекции се използва документ за примамка, за да се създаде планирана задача за дългосрочно постоянство, като едновременно с това се премахва изпълним файл с име „Menorah.exe“. Този изпълним файл от своя страна установява комуникация с отдалечен сървър, очаквайки допълнителни указания. Струва си да се отбележи, че командно-контролният сървър в момента е неактивен.

Известен също с псевдоними като APT34 , Cobalt Gypsy, Hazel Sandstorm и Helix Kitten, OilRig е иранска организация за Advanced Persistent Threat (APT) със специализиран фокус върху нелегални начинания за събиране на разузнавателна информация, щателно проникване и поддържане на достъп в определени мрежи.

Важни подробности за злонамерения софтуер Menorah показват приликите му с друга заплаха от злонамерен софтуер

Зловреден софтуер, написан на .NET и доставен чрез заплашителния документ, служи основно за целите на кибершпионажа и разполага с широк спектър от възможности. Този опасен софтуер е в състояние да идентифицира специфичните характеристики на целевия компютър, да изброява директории и файлове, избирателно да качва файлове от компрометираната система, да изпълнява команди на обвивката и да изтегля файлове на компрометираната машина.

След извършване на задълбочен анализ, сравняващ злонамерения софтуер SideTwist с Menorah, изследователите са забелязали значителни прилики между двата, особено по отношение на функционалността. Тези варианти на злонамерен софтуер показват сходни функции на задната врата за изпълнение на команди на обвивката и улесняване на качване и изтегляне на файлове.

Въпреки това, за разлика от по-ранната версия на SideTwist, тази нова заплаха включва допълнителни функции за затъмняване на трафика към командния и контролен (C&C) сървър, подобрявайки неговата скритост, за да избегне откриването. Първоначално зловредният софтуер проверява за конкретен аргумент по време на изпълнение, за да осигури правилния поток на изпълнение. При липса на посочения аргумент злонамереният софтуер ще се прекрати, спирайки своите операции. Тази рутинна проверка служи за поддържане на скритото поведение на злонамерения софтуер и идентифицира дали той работи в аналитична среда, като пясъчна среда. Ако аргументът показва, че се изпълнява в пясъчна среда, зловредният софтуер ще продължи без аргумента, но в крайна сметка ще се самопрекъсне.

Впоследствие зловредният софтуер продължава да отпечатва пръстови отпечатъци на заразената машина, като събира информация като име на машината и потребителско име. След това този пръстов отпечатък се предава на C&C сървъра под формата на съдържание в HTTP заявка.