Menorah Malware

Edistyneet kyberrikollisuuden toimijat, joilla on siteitä Iraniin ja joita jäljitetään nimellä "OilRig", ovat toteuttaneet kohdennettua keihäänkalasteluoperaatiota, joka ottaa käyttöön uuden version Menorah-nimistä uhkaavasta ohjelmistosta. Tämä haittaohjelma on kehitetty nimenomaan kybervakoilua varten. Sillä on kyky varmistaa vaarantuneen tietokoneen tekniset tiedot, käyttää ja lähettää tiedostoja mainitusta järjestelmästä sekä ladata lisätiedostoja tai haittaohjelmia.

Uhrien tarkka väestörakenne on tässä vaiheessa epävarma. Siitä huolimatta petollisen taktiikan esiintyminen viittaa vahvasti siihen, että ainakin yksi ensisijaisista kohteista on kotoisin Saudi-Arabian rajojen sisällä sijaitsevasta organisaatiosta.

Menorah-haittaohjelma toimitetaan Lure Documentsin kautta

OilRig-phishing-hyökkäys johtaa SideTwist-haittaohjelman päivitetyn version käyttöönottoon, mikä tarkoittaa jatkuvaa kehitystyötä. Viimeisimmässä tartuntasarjassa syöttidokumenttia käytetään luomaan ajoitettu tehtävä pitkäaikaista kestävyyttä varten ja samalla pudotetaan suoritettava tiedosto nimeltä "Menorah.exe". Tämä suoritettava tiedosto puolestaan muodostaa yhteyden etäpalvelimeen odottaen lisäohjeita. On syytä huomata, että komento- ja ohjauspalvelin ei ole tällä hetkellä aktiivinen.

OilRig, joka tunnetaan myös aliaksilla, kuten APT34 , Cobalt Gypsy, Hazel Sandstorm ja Helix Kitten, on Iranian Advanced Persistent Threat (APT) -yksikkö, joka on erikoistunut salaisiin tiedonkeruupyrkimyksiin, tunkeutumaan huolellisesti ja ylläpitämään pääsyä suunniteltuihin verkkoihin.

Tärkeitä yksityiskohtia Menorah-haittaohjelmasta, joka näyttää samankaltaisuutensa toisen haittaohjelmauhan kanssa

NET:iin kirjoitettu ja uhkaavan asiakirjan kautta toimitettu haittaohjelma palvelee ensisijaisesti kybervakoilua ja tarjoaa laajan valikoiman ominaisuuksia. Tämä vaarallinen ohjelmisto pystyy tunnistamaan kohteena olevan tietokoneen erityisominaisuudet, luettelemaan hakemistoja ja tiedostoja, lataamaan valikoivasti tiedostoja vaarantuneesta järjestelmästä, suorittamaan komentotulkkikomentoja ja lataamaan tiedostoja vaarantuneelle koneelle.

Suoritettuaan perusteellisen analyysin, jossa verrattiin SideTwist-haittaohjelmaa Menorahin, tutkijat ovat havainneet huomattavia yhtäläisyyksiä näiden kahden välillä, erityisesti toiminnallisuuden suhteen. Näissä haittaohjelmaversioissa on samanlaisia takaoven toimintoja komentotulkkikomentojen suorittamiseen ja tiedostojen lataamisen helpottamiseen.

Toisin kuin SideTwistin aikaisempi versio, tämä uusi uhka sisältää lisäominaisuuksia, jotka hämärtävät liikennettä komento- ja ohjauspalvelimelle, mikä parantaa sen varkautta havaitsemisen välttämiseksi. Aluksi haittaohjelma tarkistaa tietyn argumentin suorituksen aikana varmistaakseen oikean suorituskulun. Jos määritettyä argumenttia ei ole esitetty, haittaohjelma lopettaa toimintansa. Tämä rutiinitarkistus auttaa ylläpitämään haittaohjelman salaisen käyttäytymisen ja tunnistaa, toimiiko se analyyttisessä ympäristössä, kuten hiekkalaatikossa. Jos argumentti osoittaa, että se toimii hiekkalaatikossa, haittaohjelma etenee ilman argumenttia, mutta loppuu lopulta itsestään.

Tämän jälkeen haittaohjelma ottaa sormenjäljen tartunnan saaneesta koneesta keräämällä tietoja, kuten koneen nimen ja käyttäjänimen. Tämä sormenjälki välitetään sitten C&C-palvelimelle sisällön muodossa HTTP-pyynnön sisällä.