Menorah Malware

Napredni operativci kibernetičkog kriminala povezani s Iranom, praćeni pod pseudonimom 'OilRig', provode ciljanu operaciju krađe identiteta koja koristi novu varijantu prijetećeg softvera poznatog kao Menorah. Ovaj određeni zlonamjerni softver izrađen je za eksplicitnu svrhu cyber špijunaže. Može se pohvaliti sposobnošću utvrđivanja specifikacija kompromitiranog računala, pristupa i prijenosa datoteka s navedenog sustava te preuzimanja dodatnih datoteka ili zlonamjernog softvera.

Točna demografija žrtava ostaje neizvjesna u ovom trenutku. Unatoč tome, prisutnost prijevarnih taktika snažno sugerira da barem jedna od primarnih meta dolazi iz organizacije koja se nalazi unutar granica Saudijske Arabije.

Zlonamjerni softver Menorah isporučuje se putem Lure dokumenata

Napad krađe identiteta OilRig rezultira uvođenjem ažurirane varijante zlonamjernog softvera SideTwist, što implicira stalne razvojne napore. U najnovijem nizu infekcija, dokument mamac koristi se za stvaranje planiranog zadatka za dugotrajnu postojanost dok se istovremeno izbacuje izvršna datoteka pod nazivom 'Menorah.exe.' Ovaj izvršni, pak, uspostavlja komunikaciju s udaljenim poslužiteljem, čekajući daljnje upute. Vrijedno je napomenuti da je poslužitelj za naredbe i kontrolu trenutno neaktivan.

Također poznat pod nadimcima kao što su APT34 , Cobalt Gypsy, Hazel Sandstorm i Helix Kitten, OilRig stoji kao iranski entitet za naprednu trajnu prijetnju (APT) sa specijaliziranim fokusom na tajne pokušaje prikupljanja obavještajnih podataka, pedantno infiltrirajući se i održavajući pristup unutar određenih mreža.

Važni detalji o zlonamjernom softveru Menorah pokazuju njegove sličnosti s drugom prijetnjom zlonamjernim softverom

Zlonamjerni softver, napisan u .NET-u i isporučen putem prijetećeg dokumenta, prvenstveno služi u svrhu kibernetičke špijunaže i može se pohvaliti širokim spektrom mogućnosti. Ovaj nesiguran softver sposoban je identificirati specifične karakteristike ciljanog računala, ispisivati direktorije i datoteke, selektivno učitavati datoteke iz ugroženog sustava, izvršavati naredbe ljuske i preuzimati datoteke na ugroženo računalo.

Nakon provođenja detaljne analize usporedbe zlonamjernog softvera SideTwist s Menorahom, istraživači su uočili značajne sličnosti između njih dvoje, posebice u smislu funkcionalnosti. Ove varijante zlonamjernog softvera pokazuju slične backdoor funkcionalnosti za izvršavanje naredbi ljuske i olakšavanje prijenosa i preuzimanja datoteka.

Međutim, za razliku od ranije verzije SideTwista, ova nova prijetnja uključuje dodatne značajke za prikrivanje prometa prema poslužitelju za naredbe i kontrolu (C&C), poboljšavajući njegovu skrivenost kako bi izbjegla otkrivanje. U početku zlonamjerni softver provjerava određeni argument tijekom izvođenja kako bi osigurao pravilan tijek izvođenja. U nedostatku navedenog argumenta, zlonamjerni softver će prekinuti rad, zaustavljajući svoje operacije. Ova rutinska provjera služi za održavanje prikrivenog ponašanja zlonamjernog softvera i utvrđuje radi li on unutar analitičkog okruženja, kao što je sandbox. Ako argument ukazuje na to da se izvodi unutar sandboxa, zlonamjerni će softver nastaviti bez argumenta, ali će se na kraju sam prekinuti.

Nakon toga, zlonamjerni softver nastavlja s otiskom prsta na zaraženom stroju prikupljajući podatke kao što su naziv stroja i korisničko ime. Ovaj se otisak zatim prenosi na C&C poslužitelj u obliku sadržaja unutar HTTP zahtjeva.