Menorah Malware
Operatius avançats de ciberdelinqüència amb vincles amb l'Iran, rastrejats amb l'àlies "OilRig", han estat duent a terme una operació de pesca amb lança dirigida que desplega una nova variant d'un programari amenaçador conegut com Menorah. Aquest programari maliciós en particular ha estat creat amb el propòsit explícit del ciberespionatge. Compta amb la capacitat d'esbrinar les especificacions d'un ordinador compromès, accedir i transmetre fitxers des d'aquest sistema i descarregar fitxers addicionals o programari maliciós.
La demografia precisa de les víctimes segueix sent incerta en aquest moment. No obstant això, la presència de tàctiques enganyoses suggereix fortament que almenys un dels objectius principals prové d'una organització situada dins de les fronteres de l'Aràbia Saudita.
El programari maliciós Menorah es lliura mitjançant documents Lure
L'atac de pesca d'OilRig provoca el desplegament d'una variant actualitzada del programari maliciós SideTwist, la qual cosa implica esforços de desenvolupament en curs. A la seqüència d'infeccions més recent, s'utilitza un document d'esquer per crear una tasca programada per a una persistència a llarg termini mentre simultàniament s'arregla un fitxer executable anomenat "Menorah.exe". Aquest executable, al seu torn, estableix la comunicació amb un servidor remot, a l'espera de més directrius. Val la pena assenyalar que el servidor d'ordres i control està actualment inactiu.
També coneguda per àlies com APT34 , Cobalt Gypsy, Hazel Sandstorm i Helix Kitten, OilRig és una entitat iraniana d'amenaça persistent avançada (APT) amb un enfocament especialitzat en els esforços clandestins de recollida d'intel·ligència, infiltrant-se meticulosament i mantenint l'accés a les xarxes designades.
Els detalls importants sobre el programari maliciós Menorah mostren les seves similituds amb una altra amenaça de programari maliciós
El programari maliciós, escrit en .NET i lliurat a través del document amenaçador, serveix principalment per al ciberespionatge i compta amb una àmplia gamma de capacitats. Aquest programari insegur és capaç d'identificar les característiques específiques de l'ordinador objectiu, llistar directoris i fitxers, carregar selectivament fitxers del sistema compromès, executar ordres de l'intèrpret d'ordres i descarregar fitxers a la màquina compromesa.
Després de realitzar una anàlisi exhaustiva comparant el programari maliciós SideTwist amb Menorah, els investigadors han detectat semblances substancials entre ambdós, especialment pel que fa a la funcionalitat. Aquestes variants de programari maliciós presenten funcionalitats de porta posterior similars per executar ordres de l'intèrpret d'ordres i facilitar la càrrega i descàrrega de fitxers.
Tanmateix, a diferència de la versió anterior de SideTwist, aquesta nova amenaça incorpora funcions addicionals per ofuscar el trànsit al servidor de comandament i control (C&C), millorant la seva sigil·litat per evadir la detecció. Inicialment, el programari maliciós comprova un argument específic durant l'execució per garantir el flux d'execució adequat. En absència de l'argument especificat, el programari maliciós finalitzarà i aturarà les seves operacions. Aquesta comprovació rutinària serveix per mantenir el comportament encobert del programari maliciós i identifica si funciona dins d'un entorn analític, com ara una caixa de proves. Si l'argument indica que s'està executant dins d'una caixa de proves, el programari maliciós continuarà sense l'argument, però finalment s'acabarà automàticament.
Posteriorment, el programari maliciós procedeix a l'empremta digital de la màquina infectada recopilant informació com ara el nom de la màquina i el nom d'usuari. A continuació, aquesta empremta digital es transmet al servidor C&C en forma de contingut dins d'una sol·licitud HTTP.
