Menorah Malware

Avancerede cyberkriminelle operatører med bånd til Iran, sporet under aliaset 'OilRig', har udført en målrettet spear-phishing-operation, der implementerer en ny variant af en truende software kendt som Menorah. Denne særlige malware er blevet lavet med det eksplicitte formål cyberspionage. Det kan prale af evnen til at fastslå specifikationerne for en kompromitteret computer, få adgang til og overføre filer fra nævnte system og downloade yderligere filer eller malware.

Den præcise demografi af ofrene er stadig usikker på dette tidspunkt. Ikke desto mindre tyder tilstedeværelsen af vildledende taktikker stærkt på, at mindst et af de primære mål kommer fra en organisation beliggende inden for Saudi-Arabiens grænser.

Menorah-malwaren leveres via lokkedokumenter

OilRig-phishing-angrebet resulterer i implementeringen af en opdateret variant af SideTwist-malwaren, hvilket indebærer en løbende udviklingsindsats. I den seneste sekvens af infektioner bruges et lokkemiddel til at skabe en planlagt opgave til langsigtet vedholdenhed, samtidig med at en eksekverbar fil med navnet 'Menorah.exe' slippes. Dette eksekverbare program etablerer til gengæld kommunikation med en fjernserver, afventer yderligere direktiver. Det er værd at bemærke, at kommando-og-kontrol-serveren i øjeblikket er inaktiv.

Også kendt af aliaser som APT34 , Cobalt Gypsy, Hazel Sandstorm og Helix Kitten, står OilRig som en iransk Advanced Persistent Threat (APT) enhed med et specialiseret fokus på hemmelige efterretningsindsamlingsbestræbelser, minutiøst infiltrering og opretholdelse af adgang inden for udpegede netværk.

Vigtige detaljer om Menorah Malware viser dens ligheder med en anden malware-trussel

Malwaren, skrevet i .NET og leveret via det truende dokument, tjener primært formålet med cyberspionage og kan prale af en bred vifte af muligheder. Denne usikre software er i stand til at identificere de specifikke karakteristika for den målrettede computer, liste mapper og filer, selektivt uploade filer fra det kompromitterede system, udføre shell-kommandoer og downloade filer til den kompromitterede maskine.

Efter at have udført en grundig analyse, der sammenligner SideTwist-malwaren med Menorah, har forskere fundet betydelige ligheder mellem de to, især med hensyn til funktionalitet. Disse malware-varianter udviser lignende bagdørsfunktioner til at udføre shell-kommandoer og lette upload og download af filer.

Men i modsætning til den tidligere version af SideTwist inkorporerer denne nye trussel yderligere funktioner til at sløre trafik til kommando- og kontrolserveren (C&C), hvilket forbedrer dens snighed for at undgå registrering. Til at begynde med søger malwaren efter et specifikt argument under udførelse for at sikre det korrekte udførelsesflow. I mangel af det angivne argument vil malwaren ophøre og standse dens operationer. Dette rutinetjek tjener til at vedligeholde malwarens skjulte adfærd og identificerer, om den fungerer i et analytisk miljø, såsom en sandkasse. Hvis argumentet angiver, at det kører i en sandkasse, vil malwaren fortsætte uden argumentet, men i sidste ende selvophøre.

Efterfølgende fortsætter malwaren med at fingeraftrykke den inficerede maskine ved at indsamle oplysninger såsom maskinens navn og brugernavn. Dette fingeraftryk overføres derefter til C&C-serveren i form af indhold inden for en HTTP-anmodning.