Menorah Malware
عوامل پیشرفته جرایم سایبری مرتبط با ایران که تحت نام مستعار «OilRig» ردیابی میشوند، یک عملیات فیشینگ هدفمند را انجام دادهاند که یک نوع جدید از یک نرمافزار تهدیدآمیز به نام Menorah را به کار میگیرد. این بدافزار خاص با هدف صریح جاسوسی سایبری ساخته شده است. این قابلیت را دارد که مشخصات یک رایانه در معرض خطر را مشخص کند، به فایلها دسترسی داشته باشد و از سیستم مذکور منتقل کند و فایلها یا بدافزارهای اضافی را دانلود کند.
جمعیت دقیق قربانیان در این مقطع نامشخص است. با این وجود، وجود تاکتیکهای فریبنده قویاً نشان میدهد که حداقل یکی از اهداف اولیه از سازمانی است که در داخل مرزهای عربستان سعودی واقع شده است.
بدافزار Menorah از طریق اسناد Lure تحویل داده می شود
حمله فیشینگ OilRig منجر به استقرار یک نوع به روز شده از بدافزار SideTwist می شود که حاکی از تلاش های توسعه مداوم است. در جدیدترین توالی عفونتها، یک سند طعمه برای ایجاد یک کار زمانبندیشده برای ماندگاری طولانیمدت در حالی که همزمان یک فایل اجرایی به نام «Menorah.exe» را رها میکند، استفاده میشود. این فایل اجرایی، به نوبه خود، با یک سرور راه دور ارتباط برقرار می کند و منتظر دستورالعمل های بعدی است. شایان ذکر است که سرور فرمان و کنترل در حال حاضر غیر فعال است.
OilRig که با نامهایی مانند APT34 ، Cobalt Gypsy، Hazel Sandstorm، و Helix Kitten نیز شناخته میشود، بهعنوان یک موجودیت تهدید دائمی پیشرفته ایرانی (APT) با تمرکز تخصصی بر تلاشهای جمعآوری اطلاعات مخفیانه، به دقت در شبکههای نفوذی و پایدار در شبکهها شناخته میشود.
جزئیات مهم در مورد بدافزار Menorah شباهتهای آن را با یک تهدید بدافزار دیگر نشان میدهد
این بدافزار که در دات نت نوشته شده و از طریق سند تهدیدکننده ارائه می شود، در درجه اول هدف جاسوسی سایبری را دنبال می کند و دارای طیف گسترده ای از قابلیت ها است. این نرم افزار ناامن قادر به شناسایی ویژگی های خاص رایانه مورد نظر، فهرست کردن فهرست ها و فایل ها، آپلود انتخابی فایل ها از سیستم در معرض خطر، اجرای دستورات پوسته و دانلود فایل ها بر روی دستگاه در معرض خطر است.
پس از انجام تجزیه و تحلیل کامل در مقایسه بدافزار SideTwist با Menorah، محققان شباهت های قابل توجهی را بین این دو تشخیص دادند، به ویژه از نظر عملکرد. این گونههای بدافزار عملکردهای مشابهی را برای اجرای دستورات پوسته و تسهیل آپلود و دانلود فایلها نشان میدهند.
با این حال، برخلاف نسخه قبلی SideTwist، این تهدید جدید دارای ویژگیهای اضافی برای مخفی کردن ترافیک به سرور فرمان و کنترل (C&C) است و مخفی بودن آن را برای فرار از شناسایی افزایش میدهد. در ابتدا، بدافزار برای اطمینان از جریان اجرای مناسب، آرگومان خاصی را در حین اجرا بررسی می کند. در صورت عدم وجود آرگومان مشخص شده، بدافزار خاتمه می یابد و عملیات آن متوقف می شود. این بررسی معمولی برای حفظ رفتار مخفی بدافزار عمل میکند و مشخص میکند که آیا در یک محیط تحلیلی مانند جعبه شنی کار میکند یا خیر. اگر آرگومان نشان دهد که در یک سندباکس در حال اجرا است، بدافزار بدون آرگومان کار میکند اما در نهایت خود به خود خاتمه مییابد.
متعاقباً، بدافزار با جمعآوری اطلاعاتی مانند نام دستگاه و نام کاربری، اقدام به انگشت نگاری دستگاه آلوده میکند. سپس این اثر انگشت به شکل محتوای یک درخواست HTTP به سرور C&C منتقل میشود.