Menorah Malware

عوامل پیشرفته جرایم سایبری مرتبط با ایران که تحت نام مستعار «OilRig» ردیابی می‌شوند، یک عملیات فیشینگ هدفمند را انجام داده‌اند که یک نوع جدید از یک نرم‌افزار تهدیدآمیز به نام Menorah را به کار می‌گیرد. این بدافزار خاص با هدف صریح جاسوسی سایبری ساخته شده است. این قابلیت را دارد که مشخصات یک رایانه در معرض خطر را مشخص کند، به فایل‌ها دسترسی داشته باشد و از سیستم مذکور منتقل کند و فایل‌ها یا بدافزارهای اضافی را دانلود کند.

جمعیت دقیق قربانیان در این مقطع نامشخص است. با این وجود، وجود تاکتیک‌های فریبنده قویاً نشان می‌دهد که حداقل یکی از اهداف اولیه از سازمانی است که در داخل مرزهای عربستان سعودی واقع شده است.

بدافزار Menorah از طریق اسناد Lure تحویل داده می شود

حمله فیشینگ OilRig منجر به استقرار یک نوع به روز شده از بدافزار SideTwist می شود که حاکی از تلاش های توسعه مداوم است. در جدیدترین توالی عفونت‌ها، یک سند طعمه برای ایجاد یک کار زمان‌بندی‌شده برای ماندگاری طولانی‌مدت در حالی که همزمان یک فایل اجرایی به نام «Menorah.exe» را رها می‌کند، استفاده می‌شود. این فایل اجرایی، به نوبه خود، با یک سرور راه دور ارتباط برقرار می کند و منتظر دستورالعمل های بعدی است. شایان ذکر است که سرور فرمان و کنترل در حال حاضر غیر فعال است.

OilRig که با نام‌هایی مانند APT34 ، Cobalt Gypsy، Hazel Sandstorm، و Helix Kitten نیز شناخته می‌شود، به‌عنوان یک موجودیت تهدید دائمی پیشرفته ایرانی (APT) با تمرکز تخصصی بر تلاش‌های جمع‌آوری اطلاعات مخفیانه، به دقت در شبکه‌های نفوذی و پایدار در شبکه‌ها شناخته می‌شود.

جزئیات مهم در مورد بدافزار Menorah شباهت‌های آن را با یک تهدید بدافزار دیگر نشان می‌دهد

این بدافزار که در دات نت نوشته شده و از طریق سند تهدیدکننده ارائه می شود، در درجه اول هدف جاسوسی سایبری را دنبال می کند و دارای طیف گسترده ای از قابلیت ها است. این نرم افزار ناامن قادر به شناسایی ویژگی های خاص رایانه مورد نظر، فهرست کردن فهرست ها و فایل ها، آپلود انتخابی فایل ها از سیستم در معرض خطر، اجرای دستورات پوسته و دانلود فایل ها بر روی دستگاه در معرض خطر است.

پس از انجام تجزیه و تحلیل کامل در مقایسه بدافزار SideTwist با Menorah، محققان شباهت های قابل توجهی را بین این دو تشخیص دادند، به ویژه از نظر عملکرد. این گونه‌های بدافزار عملکردهای مشابهی را برای اجرای دستورات پوسته و تسهیل آپلود و دانلود فایل‌ها نشان می‌دهند.

با این حال، برخلاف نسخه قبلی SideTwist، این تهدید جدید دارای ویژگی‌های اضافی برای مخفی کردن ترافیک به سرور فرمان و کنترل (C&C) است و مخفی بودن آن را برای فرار از شناسایی افزایش می‌دهد. در ابتدا، بدافزار برای اطمینان از جریان اجرای مناسب، آرگومان خاصی را در حین اجرا بررسی می کند. در صورت عدم وجود آرگومان مشخص شده، بدافزار خاتمه می یابد و عملیات آن متوقف می شود. این بررسی معمولی برای حفظ رفتار مخفی بدافزار عمل می‌کند و مشخص می‌کند که آیا در یک محیط تحلیلی مانند جعبه شنی کار می‌کند یا خیر. اگر آرگومان نشان دهد که در یک سندباکس در حال اجرا است، بدافزار بدون آرگومان کار می‌کند اما در نهایت خود به خود خاتمه می‌یابد.

متعاقباً، بدافزار با جمع‌آوری اطلاعاتی مانند نام دستگاه و نام کاربری، اقدام به انگشت نگاری دستگاه آلوده می‌کند. سپس این اثر انگشت به شکل محتوای یک درخواست HTTP به سرور C&C منتقل می‌شود.