Menorah Malware

Προηγμένοι χειριστές του εγκλήματος στον κυβερνοχώρο με δεσμούς με το Ιράν, οι οποίοι παρακολουθούνται με το ψευδώνυμο «OilRig», πραγματοποιούν μια στοχευμένη επιχείρηση ψαρέματος με δόρυ που αναπτύσσει μια νέα παραλλαγή ενός απειλητικού λογισμικού που είναι γνωστό ως Menorah. Το συγκεκριμένο κακόβουλο λογισμικό έχει δημιουργηθεί με σαφή σκοπό την κατασκοπεία στον κυβερνοχώρο. Μπορεί να υπερηφανεύεται για τη δυνατότητα εξακρίβωσης των προδιαγραφών ενός παραβιασμένου υπολογιστή, πρόσβασης και μετάδοσης αρχείων από το εν λόγω σύστημα και λήψης πρόσθετων αρχείων ή κακόβουλου λογισμικού.

Το ακριβές δημογραφικό των θυμάτων παραμένει αβέβαιο σε αυτή τη συγκυρία. Ωστόσο, η παρουσία παραπλανητικών τακτικών υποδηλώνει έντονα ότι τουλάχιστον ένας από τους κύριους στόχους προέρχεται από μια οργάνωση που βρίσκεται εντός των συνόρων της Σαουδικής Αραβίας.

Το κακόβουλο λογισμικό Menorah παραδίδεται μέσω εγγράφων Lure

Η επίθεση phishing της OilRig έχει ως αποτέλεσμα την ανάπτυξη μιας ενημερωμένης παραλλαγής του κακόβουλου λογισμικού SideTwist, υποδηλώνοντας συνεχείς προσπάθειες ανάπτυξης. Στην πιο πρόσφατη αλληλουχία μολύνσεων, χρησιμοποιείται ένα έγγραφο δολώματος για τη δημιουργία μιας προγραμματισμένης εργασίας για μακροχρόνια επιμονή, ενώ ταυτόχρονα απορρίπτεται ένα εκτελέσιμο αρχείο με το όνομα "Menorah.exe". Αυτό το εκτελέσιμο, με τη σειρά του, δημιουργεί επικοινωνία με έναν απομακρυσμένο διακομιστή, εν αναμονή περαιτέρω οδηγιών. Αξίζει να σημειωθεί ότι ο διακομιστής εντολών και ελέγχου είναι επί του παρόντος ανενεργός.

Γνωστό επίσης με ψευδώνυμα όπως το APT34 , το Cobalt Gypsy, το Hazel Sandstorm και το Helix Kitten, το OilRig αποτελεί μια οντότητα Ιρανικής Προηγμένης Μόνιμης Απειλής (APT) με εξειδικευμένη εστίαση σε μυστικές προσπάθειες συλλογής πληροφοριών, σχολαστικά διεισδυτικού δικτύου και διατήρησης της πρόσβασης.

Σημαντικές λεπτομέρειες σχετικά με το κακόβουλο λογισμικό Menorah δείχνουν τις ομοιότητές του με μια άλλη απειλή κακόβουλου λογισμικού

Το κακόβουλο λογισμικό, γραμμένο σε .NET και παραδίδεται μέσω του απειλητικού εγγράφου, εξυπηρετεί κατά κύριο λόγο τον σκοπό της κυβερνοκατασκοπείας και διαθέτει ένα ευρύ φάσμα δυνατοτήτων. Αυτό το μη ασφαλές λογισμικό είναι ικανό να αναγνωρίζει τα συγκεκριμένα χαρακτηριστικά του στοχευόμενου υπολογιστή, να παραθέτει καταλόγους και αρχεία, να ανεβάζει επιλεκτικά αρχεία από το παραβιασμένο σύστημα, να εκτελεί εντολές φλοιού και να κατεβάζει αρχεία στο παραβιασμένο μηχάνημα.

Μετά τη διεξαγωγή μιας διεξοδικής ανάλυσης συγκρίνοντας το κακόβουλο λογισμικό SideTwist με το Menorah, οι ερευνητές έχουν διακρίνει σημαντικές ομοιότητες μεταξύ των δύο, ιδιαίτερα όσον αφορά τη λειτουργικότητα. Αυτές οι παραλλαγές κακόβουλου λογισμικού παρουσιάζουν παρόμοιες λειτουργίες backdoor για την εκτέλεση εντολών κελύφους και τη διευκόλυνση μεταφόρτωσης και λήψης αρχείων.

Ωστόσο, σε αντίθεση με την προηγούμενη έκδοση του SideTwist, αυτή η νέα απειλή ενσωματώνει πρόσθετα χαρακτηριστικά για να θολώσει την κυκλοφορία στον διακομιστή εντολών και ελέγχου (C&C), ενισχύοντας τη μυστικότητά του για αποφυγή εντοπισμού. Αρχικά, το κακόβουλο λογισμικό ελέγχει για ένα συγκεκριμένο όρισμα κατά την εκτέλεση για να διασφαλίσει τη σωστή ροή εκτέλεσης. Εάν δεν υπάρχει το καθορισμένο όρισμα, το κακόβουλο λογισμικό θα τερματιστεί, διακόπτοντας τις λειτουργίες του. Αυτός ο τακτικός έλεγχος χρησιμεύει για τη διατήρηση της κρυφής συμπεριφοράς του κακόβουλου λογισμικού και προσδιορίζει εάν λειτουργεί σε ένα αναλυτικό περιβάλλον, όπως ένα sandbox. Εάν το όρισμα υποδεικνύει ότι εκτελείται μέσα σε ένα sandbox, το κακόβουλο λογισμικό θα προχωρήσει χωρίς το όρισμα, αλλά τελικά θα αυτοτερματιστεί.

Στη συνέχεια, το κακόβουλο λογισμικό προχωρά στη λήψη δακτυλικών αποτυπωμάτων στο μολυσμένο μηχάνημα συλλέγοντας πληροφορίες όπως το όνομα του μηχανήματος και το όνομα χρήστη. Αυτό το δακτυλικό αποτύπωμα μεταδίδεται στη συνέχεια στον διακομιστή C&C με τη μορφή περιεχομένου εντός αιτήματος HTTP.