Menorah Malware
ईरान से संबंध रखने वाले उन्नत साइबर अपराध संचालक, जिन्हें 'ऑयलरिग' उपनाम के तहत ट्रैक किया गया है, एक लक्षित स्पीयर-फ़िशिंग ऑपरेशन को अंजाम दे रहे हैं, जो मेनोराह नामक एक धमकी भरे सॉफ़्टवेयर का एक नया संस्करण तैनात करता है। यह विशेष मैलवेयर साइबर जासूसी के स्पष्ट उद्देश्य के लिए तैयार किया गया है। यह एक समझौता किए गए कंप्यूटर की विशिष्टताओं का पता लगाने, उक्त सिस्टम से फ़ाइलों तक पहुंचने और संचारित करने और अतिरिक्त फ़ाइलें या मैलवेयर डाउनलोड करने की क्षमता का दावा करता है।
इस समय पीड़ितों की सटीक जनसांख्यिकी अनिश्चित बनी हुई है। फिर भी, भ्रामक रणनीति की उपस्थिति दृढ़ता से सुझाव देती है कि कम से कम एक प्राथमिक लक्ष्य सऊदी अरब की सीमाओं के भीतर स्थित एक संगठन से है।
Menorah Malware ल्यूर दस्तावेज़ों के माध्यम से वितरित किया जाता है
ऑयलरिग फ़िशिंग हमले के परिणामस्वरूप साइडट्विस्ट मैलवेयर के एक अद्यतन संस्करण की तैनाती होती है, जो चल रहे विकास प्रयासों को दर्शाता है। संक्रमणों के नवीनतम अनुक्रम में, 'मेनोराह.एक्सई' नामक एक निष्पादन योग्य फ़ाइल को छोड़ने के साथ-साथ दीर्घकालिक दृढ़ता के लिए एक निर्धारित कार्य बनाने के लिए एक चारा दस्तावेज़ का उपयोग किया जाता है। यह निष्पादन योग्य, आगे के निर्देशों की प्रतीक्षा में, एक दूरस्थ सर्वर के साथ संचार स्थापित करता है। यह ध्यान देने योग्य है कि कमांड-एंड-कंट्रोल सर्वर वर्तमान में निष्क्रिय है।
APT34 , कोबाल्ट जिप्सी, हेज़ल सैंडस्टॉर्म और हेलिक्स किटन जैसे उपनामों से भी जाना जाता है, ऑयलरिग एक ईरानी एडवांस्ड पर्सिस्टेंट थ्रेट (APT) इकाई के रूप में खड़ा है, जो गुप्त खुफिया जानकारी इकट्ठा करने के प्रयासों, सावधानीपूर्वक घुसपैठ करने और निर्दिष्ट नेटवर्क के भीतर पहुंच बनाए रखने पर विशेष ध्यान देता है।
मेनोराह मैलवेयर के बारे में महत्वपूर्ण विवरण एक अन्य मैलवेयर खतरे के साथ इसकी समानताएँ दर्शाते हैं
मैलवेयर, .NET में लिखा गया है और धमकी भरे दस्तावेज़ के माध्यम से वितरित किया गया है, मुख्य रूप से साइबर जासूसी के उद्देश्य को पूरा करता है और क्षमताओं की एक विस्तृत श्रृंखला का दावा करता है। यह असुरक्षित सॉफ़्टवेयर लक्षित कंप्यूटर की विशिष्ट विशेषताओं की पहचान करने, निर्देशिकाओं और फ़ाइलों को सूचीबद्ध करने, समझौता किए गए सिस्टम से फ़ाइलों को चुनिंदा रूप से अपलोड करने, शेल कमांड निष्पादित करने और समझौता किए गए मशीन पर फ़ाइलों को डाउनलोड करने में सक्षम है।
मेनोराह के साथ साइडट्विस्ट मैलवेयर की तुलना करते हुए गहन विश्लेषण करने पर, शोधकर्ताओं ने दोनों के बीच पर्याप्त समानताएं देखी हैं, खासकर कार्यक्षमता के संदर्भ में। ये मैलवेयर वेरिएंट शेल कमांड निष्पादित करने और फ़ाइल अपलोड और डाउनलोड की सुविधा के लिए समान बैकडोर कार्यक्षमता प्रदर्शित करते हैं।
हालाँकि, साइडट्विस्ट के पुराने संस्करण के विपरीत, इस नए खतरे में कमांड और कंट्रोल (सी एंड सी) सर्वर पर ट्रैफ़िक को बाधित करने के लिए अतिरिक्त सुविधाएँ शामिल हैं, जिससे पता लगाने से बचने के लिए इसकी गोपनीयता बढ़ जाती है। प्रारंभ में, मैलवेयर उचित निष्पादन प्रवाह सुनिश्चित करने के लिए निष्पादन के दौरान एक विशिष्ट तर्क की जाँच करता है। निर्दिष्ट तर्क के अभाव में, मैलवेयर अपने संचालन को रोकते हुए समाप्त हो जाएगा। यह नियमित जांच मैलवेयर के गुप्त व्यवहार को बनाए रखने का काम करती है और यह पहचानती है कि यह सैंडबॉक्स जैसे विश्लेषणात्मक वातावरण में काम कर रहा है या नहीं। यदि तर्क इंगित करता है कि यह सैंडबॉक्स के भीतर चल रहा है, तो मैलवेयर तर्क के बिना आगे बढ़ेगा लेकिन अंततः स्व-समाप्त हो जाएगा।
इसके बाद, मैलवेयर मशीन का नाम और उपयोगकर्ता नाम जैसी जानकारी एकत्र करके संक्रमित मशीन को फिंगरप्रिंट करने के लिए आगे बढ़ता है। यह फ़िंगरप्रिंट फिर HTTP अनुरोध के भीतर सामग्री के रूप में C&C सर्वर पर प्रेषित किया जाता है।
