Menorah Malware

Täiustatud küberkuritegevuse töötajad, kellel on sidemed Iraaniga ja keda jälgitakse varjunime "OilRig" all, on sooritanud sihipärast andmepüügioperatsiooni, mis kasutab Menorah-nimelise ähvardava tarkvara värsket varianti. See konkreetne pahavara on loodud selgesõnaliselt küberspionaaži eesmärgil. Sellel on võimalus teha kindlaks ohustatud arvuti spetsifikatsioonid, pääseda juurde ja edastada nimetatud süsteemi faile ning laadida alla täiendavaid faile või pahavara.

Ohvrite täpne demograafia on praegusel hetkel ebakindel. Sellegipoolest viitab petliku taktika olemasolu tugevalt sellele, et vähemalt üks peamistest sihtmärkidest pärineb Saudi Araabia piirides asuvast organisatsioonist.

Menorah pahavara tarnitakse Lure Documents kaudu

OilRigi andmepüügirünnak toob kaasa SideTwisti pahavara uuendatud variandi juurutamise, mis tähendab jätkuvaid arendustegevust. Viimase nakatumiste jada puhul kasutatakse peibutusdokumenti, et luua ajastatud ülesanne pikaajaliseks püsimiseks, samal ajal kukutades käivitatava faili nimega "Menorah.exe". See käivitatav fail loob omakorda side kaugserveriga, oodates edasisi juhiseid. Väärib märkimist, et käsu- ja juhtimisserver on praegu passiivne.

Tuntud ka varjunimede, nagu APT34 , Cobalt Gypsy, Hazel Sandstorm ja Helix Kitten, OilRig on Iraani arenenud püsiva ohu (APT) üksus, mis keskendub salajase luureandmete kogumise püüdlustele, hoolikalt imbudes ja tagades juurdepääsu kavandatud võrkudele.

Olulised üksikasjad Menorah pahavara kohta näitavad selle sarnasusi teise pahavara ohuga

Pahavara, mis on kirjutatud .NET-is ja edastatud ähvardava dokumendi kaudu, teenib peamiselt küberspionaaži eesmärki ja sellel on lai valik võimalusi. See ohtlik tarkvara suudab tuvastada sihitud arvuti spetsiifilisi omadusi, loetleda katalooge ja faile, laadida valikuliselt üles ohustatud süsteemist faile, täita shellikäske ja alla laadida faile ohustatud masinasse.

Pärast põhjalikku analüüsi, milles võrreldi SideTwisti pahavara Menorahiga, on teadlased märganud nende kahe vahel olulisi sarnasusi, eriti funktsionaalsuse osas. Nendel pahavaravariantidel on sarnased tagaukse funktsioonid shellikäskude täitmiseks ning failide üles- ja allalaadimise hõlbustamiseks.

Kuid erinevalt SideTwisti varasemast versioonist sisaldab see uus oht lisafunktsioone, mis varjavad liiklust käsu- ja juhtimisserverisse, suurendades selle vargsi, et vältida tuvastamist. Esialgu kontrollib pahavara käivitamise ajal konkreetset argumenti, et tagada õige käivitusvoog. Määratud argumendi puudumisel pahavara lõpetab tegevuse ja peatab selle tegevuse. See rutiinne kontroll aitab säilitada pahavara varjatud käitumist ja tuvastab, kas see töötab analüütilises keskkonnas, näiteks liivakastis. Kui argument viitab sellele, et see töötab liivakastis, jätkab pahavara argumendita, kuid lõppeb lõpuks ise.

Seejärel võtab pahavara nakatunud masinalt sõrmejälje, kogudes teavet, nagu masina nimi ja kasutajanimi. Seejärel edastatakse see sõrmejälg HTTP-päringu sisu kujul C&C serverisse.