Menorah Malware

פעילי פשעי סייבר מתקדמים בעלי קשרים עם איראן, המעקבים אחריהם תחת הכינוי 'OilRig', ביצעו פעולת דיוג ממוקדת בחנית שפורסת גרסה חדשה של תוכנה מאיימת המכונה Menorah. תוכנה זדונית ספציפית זו נוצרה למטרה מפורשת של ריגול סייבר. הוא מתהדר ביכולת לברר את המפרט של מחשב שנפגע, לגשת ולשדר קבצים מהמערכת האמורה ולהוריד קבצים נוספים או תוכנות זדוניות.

הדמוגרפיה המדויקת של הקורבנות נותרה לא ברורה בשלב זה. אף על פי כן, נוכחותן של טקטיקות הטעיה מרמזת על כך שלפחות אחת מהמטרות העיקריות מגיעה מארגון שנמצא בגבולות סעודיה.

התוכנה הזדונית של מנורה מועברת באמצעות מסמכי פיתוי

מתקפת ההתחזות של OilRig גורמת לפריסה של גרסה מעודכנת של תוכנת הזדונית SideTwist, מה שמרמז על מאמצי פיתוח מתמשכים. ברצף האחרון של זיהומים, מסמך פיתיון משמש ליצירת משימה מתוזמנת להתמדה ארוכת טווח, תוך שחרור בו-זמנית של קובץ הפעלה בשם 'Menorah.exe'. קובץ הפעלה זה, בתורו, יוצר תקשורת עם שרת מרוחק, ממתין להנחיות נוספות. ראוי לציין ששרת הפיקוד והבקרה אינו פעיל כעת.

ידוע גם בכינויים כגון APT34 , Cobalt Gypsy, Hazel Sandstorm ו-Helix Kitten, OilRig עומדת כישות איראנית מתקדמת מתמשכת (APT) עם התמקדות מיוחדת במאמצים לאיסוף מודיעין חשאי, תוך הסתננות קפדנית ושמירה על גישה בתוך רשתות ייעודיות.

פרטים חשובים על תוכנת זדונית מנורה מראים את הדמיון שלה עם איום זדוני אחר

התוכנה הזדונית, שנכתבה ב-.NET ומועברת באמצעות המסמך המאיים, משרתת בעיקר את המטרה של ריגול סייבר ומתהדרת במגוון רחב של יכולות. תוכנה לא בטוחה זו מסוגלת לזהות את המאפיינים הספציפיים של המחשב הממוקד, לרשום ספריות וקבצים, להעלות קבצים באופן סלקטיבי מהמערכת שנפרצה, לבצע פקודות מעטפת ולהוריד קבצים למחשב שנפגע.

לאחר ביצוע ניתוח יסודי בהשוואה בין התוכנה הזדונית של SideTwist לבין Menorah, החוקרים הבחינו בדמיון מהותי בין השניים, במיוחד במונחים של פונקציונליות. גרסאות תוכנה זדוניות אלו מציגות פונקציונליות דומות של דלת אחורית לביצוע פקודות מעטפת והקלת העלאות והורדות של קבצים.

עם זאת, בניגוד לגרסה הקודמת של SideTwist, האיום החדש הזה משלב תכונות נוספות כדי לטשטש את התעבורה לשרת הפיקוד והבקרה (C&C), מה שמשפר את החמקנות שלו כדי להתחמק מזיהוי. בתחילה, התוכנה הזדונית בודקת ארגומנט ספציפי במהלך הביצוע כדי להבטיח את זרימת הביצוע התקינה. בהיעדר הטיעון שצוין, התוכנה הזדונית תסתיים, ותעצור את פעולותיה. בדיקה שגרתית זו משמשת לשמירה על ההתנהגות הסמויה של התוכנה הזדונית ומזהה האם היא פועלת בתוך סביבה אנליטית, כגון ארגז חול. אם הארגומנט מציין שהוא פועל בתוך ארגז חול, התוכנה הזדונית תמשיך ללא הארגומנט אך בסופו של דבר תסתיים מעצמה.

לאחר מכן, התוכנה הזדונית ממשיכה לטביעת אצבע של המחשב הנגוע על ידי איסוף מידע כגון שם המכונה ושם המשתמש. טביעת אצבע זו מועברת לאחר מכן לשרת C&C בצורה של תוכן בתוך בקשת HTTP.