Menorah Malware

Gli agenti avanzati del crimine informatico con legami con l'Iran, rintracciati sotto lo pseudonimo di "OilRig", hanno condotto un'operazione mirata di spear-phishing che utilizza una nuova variante di un software minaccioso noto come Menorah. Questo particolare malware è stato creato con lo scopo esplicito dello spionaggio informatico. Vanta la capacità di accertare le specifiche di un computer compromesso, accedere e trasmettere file da tale sistema e scaricare file aggiuntivi o malware.

La precisa demografia delle vittime rimane incerta in questo frangente. Tuttavia, la presenza di tattiche ingannevoli suggerisce fortemente che almeno uno degli obiettivi primari provenga da un’organizzazione situata entro i confini dell’Arabia Saudita.

Il malware Menorah viene distribuito tramite documenti Lure

L'attacco di phishing OilRig comporta l'implementazione di una variante aggiornata del malware SideTwist, il che implica sforzi di sviluppo continui. Nella sequenza più recente di infezioni, viene utilizzato un documento esca per creare un'attività pianificata per la persistenza a lungo termine e contemporaneamente rilasciare un file eseguibile denominato "Menorah.exe". Questo eseguibile, a sua volta, stabilisce la comunicazione con un server remoto, in attesa di ulteriori direttive. Vale la pena notare che il server di comando e controllo è attualmente inattivo.

Conosciuto anche con alias come APT34 , Cobalt Gypsy, Hazel Sandstorm e Helix Kitten, OilRig è un'entità iraniana Advanced Persistent Threat (APT) con un focus specializzato su attività clandestine di raccolta di informazioni, infiltrandosi meticolosamente e sostenendo l'accesso all'interno di reti designate.

Dettagli importanti sul malware Menorah mostrano le sue somiglianze con un'altra minaccia malware

Il malware, scritto in .NET e distribuito tramite il documento minaccioso, ha principalmente lo scopo di spionaggio informatico e vanta un'ampia gamma di funzionalità. Questo software non sicuro è in grado di identificare le caratteristiche specifiche del computer preso di mira, elencare directory e file, caricare selettivamente file dal sistema compromesso, eseguire comandi shell e scaricare file sulla macchina compromessa.

Dopo aver condotto un'analisi approfondita confrontando il malware SideTwist con Menorah, i ricercatori hanno individuato sostanziali somiglianze tra i due, soprattutto in termini di funzionalità. Queste varianti di malware presentano funzionalità backdoor simili per l'esecuzione di comandi shell e per facilitare il caricamento e il download di file.

Tuttavia, a differenza della versione precedente di SideTwist, questa nuova minaccia incorpora funzionalità aggiuntive per offuscare il traffico verso il server di comando e controllo (C&C), migliorandone la segretezza per eludere il rilevamento. Inizialmente, il malware verifica la presenza di un argomento specifico durante l'esecuzione per garantire il corretto flusso di esecuzione. In assenza dell'argomento specificato, il malware terminerà, interrompendo le sue operazioni. Questo controllo di routine serve a mantenere il comportamento nascosto del malware e identifica se sta operando all'interno di un ambiente analitico, come una sandbox. Se l'argomento indica che è in esecuzione all'interno di una sandbox, il malware procederà senza l'argomento ma alla fine si autoterminerà.

Successivamente, il malware procede all'impronta digitale della macchina infetta raccogliendo informazioni come il nome della macchina e il nome utente. Questa impronta digitale viene quindi trasmessa al server C&C sotto forma di contenuto all'interno di una richiesta HTTP.