Menorah Malware

Az Iránnal kapcsolatban álló fejlett kiberbűnözők, akiket „OilRig” álnéven követnek, célzott adathalász műveletet hajtottak végre, amely a Menorah néven ismert fenyegető szoftver új változatát telepíti. Ezt a rosszindulatú programot kifejezetten a számítógépes kémkedés céljából hozták létre. Azzal büszkélkedhet, hogy meg tudja állapítani a feltört számítógép specifikációit, hozzáférhet és továbbíthat fájlokat a rendszerből, valamint további fájlokat vagy rosszindulatú programokat tölthet le.

Az áldozatok pontos demográfiai adatai jelenleg még bizonytalanok. Mindazonáltal a megtévesztő taktikák jelenléte erősen arra utal, hogy az elsődleges célpontok közül legalább egy Szaúd-Arábia határain belül található szervezettől származik.

A Menorah Malware-t a Lure Documents útján szállítják

Az OilRig adathalász támadás a SideTwist kártevő frissített változatának telepítését eredményezi, ami folyamatos fejlesztési erőfeszítéseket jelent. A fertőzések legutóbbi sorozatában egy csalidokumentumot alkalmaznak egy ütemezett feladat létrehozására a hosszú távú fennmaradás érdekében, miközben egyidejűleg eldobnak egy „Menorah.exe” nevű végrehajtható fájlt. Ez a végrehajtható fájl pedig kommunikációt létesít egy távoli szerverrel, további direktívákra várva. Érdemes megjegyezni, hogy a parancs- és vezérlőkiszolgáló jelenleg inaktív.

Az olyan álnevekről is ismert, mint az APT34 , a Cobalt Gypsy, a Hazel Sandstorm és a Helix Kitten, az OilRig egy Iráni Advanced Persistent Threat (APT) entitás, amely az illegális hírszerzési törekvésekre, a tervezett hálózatokba való aprólékosan beszivárgó és fenntartó hozzáférésre összpontosít.

A Menorah malware fontos részletei megmutatják a hasonlóságokat egy másik rosszindulatú fenyegetéssel

A .NET-ben írt és a fenyegető dokumentumon keresztül eljuttatott kártevő elsősorban a kiberkémkedést szolgálja, és a képességek széles skálájával büszkélkedhet. Ez a nem biztonságos szoftver képes azonosítani a megcélzott számítógép sajátos jellemzőit, listázni a könyvtárakat és fájlokat, szelektíven feltölteni fájlokat a feltört rendszerből, végrehajtani a shell parancsokat, és letölteni fájlokat a feltört gépre.

A SideTwist malware és a Menorah közötti alapos elemzés során a kutatók lényeges hasonlóságokat fedeztek fel a kettő között, különösen a funkcionalitás tekintetében. Ezek a rosszindulatú programváltozatok hasonló hátsó ajtó funkciókkal rendelkeznek a shell-parancsok végrehajtásához, valamint a fájlok feltöltésének és letöltésének megkönnyítéséhez.

A SideTwist korábbi verziójával ellentétben azonban ez az új fenyegetés további funkciókat tartalmaz a vezérlő és vezérlő (C&C) szerver felé irányuló forgalom elhomályosítására, fokozva a lopakodó képességet az észlelés elkerülése érdekében. Kezdetben a rosszindulatú program egy adott argumentumot keres a végrehajtás során, hogy biztosítsa a megfelelő végrehajtási folyamatot. A megadott argumentum hiányában a kártevő leáll, leállítva működését. Ez a rutinellenőrzés a rosszindulatú program rejtett viselkedésének fenntartását szolgálja, és azonosítja, hogy az elemző környezetben, például homokozóban működik-e. Ha az argumentum azt jelzi, hogy egy homokozóban fut, a rosszindulatú program az argumentum nélkül folytatódik, de végül önmagától megszűnik.

Ezt követően a rosszindulatú program ujjlenyomatot gyűjt a fertőzött gépről azáltal, hogy olyan információkat gyűjt össze, mint a gépnév és a felhasználónév. Ezt az ujjlenyomatot azután HTTP-kérésen belül tartalom formájában továbbítja a C&C szerverhez.