Menorah Malware

Pokročilí agenti kyberzločinu s vazbami na Írán, sledovaní pod aliasem „OilRig“, provádějí cílenou operaci spear-phishing, která nasazuje novou variantu hrozivého softwaru známého jako Menorah. Tento konkrétní malware byl vytvořen za explicitním účelem kybernetické špionáže. Může se pochlubit schopností zjistit specifikace kompromitovaného počítače, přistupovat a přenášet soubory z uvedeného systému a stahovat další soubory nebo malware.

Přesné demografické údaje obětí zůstávají v tomto okamžiku nejisté. Nicméně přítomnost klamavé taktiky silně naznačuje, že alespoň jeden z primárních cílů pochází z organizace nacházející se v hranicích Saúdské Arábie.

Malware Menorah je dodáván prostřednictvím Lure Documents

Phishingový útok OilRig vede k nasazení aktualizované varianty malwaru SideTwist, což znamená pokračující vývojové úsilí. V posledním sledu infekcí se dokument s návnadou používá k vytvoření naplánované úlohy pro dlouhodobou perzistenci při současném vypuštění spustitelného souboru s názvem „Menorah.exe“. Tento spustitelný soubor zase naváže komunikaci se vzdáleným serverem a čeká na další příkazy. Stojí za zmínku, že server pro příkazy a řízení je v současné době neaktivní.

OilRig, známý také pod přezdívkami jako APT34 , Cobalt Gypsy, Hazel Sandstorm a Helix Kitten, vystupuje jako íránská entita Advanced Persistent Threat (APT) se specializovaným zaměřením na tajné shromažďování zpravodajských informací, pečlivě proniká a udržuje přístup do určených sítí.

Důležité podrobnosti o malwaru Menorah ukazují jeho podobnosti s jinou malwarovou hrozbou

Malware, napsaný v .NET a doručený prostřednictvím ohrožujícího dokumentu, slouží primárně pro účely kyberšpionáže a může se pochlubit širokou škálou schopností. Tento nebezpečný software je schopen identifikovat specifické vlastnosti cílového počítače, vypsat seznam adresářů a souborů, selektivně nahrávat soubory z napadeného systému, provádět příkazy shellu a stahovat soubory na napadený počítač.

Po provedení důkladné analýzy porovnávající malware SideTwist s Malwarem Menorah badatelé rozpoznali značné podobnosti mezi těmito dvěma, zejména pokud jde o funkčnost. Tyto varianty malwaru vykazují podobné funkce zadních vrátek pro provádění příkazů shellu a usnadnění nahrávání a stahování souborů.

Na rozdíl od dřívější verze SideTwist však tato nová hrozba obsahuje další funkce, které oblažují provoz na serveru velení a řízení (C&C) a zvyšují její utajení, aby se vyhnula detekci. Zpočátku malware během provádění kontroluje konkrétní argument, aby zajistil správný průběh provádění. Při absenci zadaného argumentu se malware ukončí a zastaví své operace. Tato rutinní kontrola slouží k zachování skrytého chování malwaru a identifikuje, zda funguje v analytickém prostředí, jako je sandbox. Pokud argument naznačuje, že je spuštěn v izolovaném prostoru, malware bude pokračovat bez argumentu, ale nakonec se sám ukončí.

Následně malware pokračuje v otisku prstu infikovaného počítače shromažďováním informací, jako je název počítače a uživatelské jméno. Tento otisk je následně přenesen na server C&C ve formě obsahu v rámci požadavku HTTP.