Menorah Malware

'OilRig'라는 가명으로 추적되는 이란과 연계된 고급 사이버 범죄 조직은 Menorah라고 알려진 위협 소프트웨어의 새로운 변종을 배포하는 표적 스피어 피싱 작전을 수행해 왔습니다. 이 특정 악성 코드는 사이버 스파이 활동을 노골적으로 목적으로 제작되었습니다. 손상된 컴퓨터의 사양을 확인하고 해당 시스템의 파일에 액세스 및 전송하며 추가 파일이나 악성 코드를 다운로드하는 기능을 자랑합니다.

현재 피해자의 정확한 인구통계는 여전히 불확실합니다. 그럼에도 불구하고 기만적인 전술이 존재한다는 사실은 주요 표적 중 적어도 하나가 사우디아라비아 국경 내에 위치한 조직에서 나온 것임을 강력히 시사합니다.

Menorah 악성코드는 루어 문서(Lure Documents)를 통해 전달됩니다.

OilRig 피싱 공격으로 인해 SideTwist 악성 코드의 업데이트된 변종이 배포되었으며, 이는 지속적인 개발 노력을 의미합니다. 가장 최근의 일련의 감염에서는 미끼 문서를 사용하여 장기 지속성을 위한 예약된 작업을 생성하는 동시에 'Menorah.exe'라는 실행 파일을 삭제합니다. 그러면 이 실행 파일은 원격 서버와의 통신을 설정하고 추가 지시문을 기다립니다. 명령 및 제어 서버가 현재 비활성화되어 있다는 점은 주목할 가치가 있습니다.

APT34 , Cobalt Gypsy, Hazel Sandstorm 및 Helix Kitten과 같은 별칭으로도 알려진 OilRig는 은밀한 정보 수집 활동에 전문적으로 초점을 맞춰 지정된 네트워크 내에 꼼꼼하게 침투하고 액세스를 유지하는 이란의 지능형 지속 위협(APT) 조직입니다.

Menorah 악성 코드에 대한 중요한 세부 정보는 다른 악성 코드 위협과의 유사성을 보여줍니다

.NET으로 작성되고 위협 문서를 통해 전달되는 악성 코드는 주로 사이버 스파이 활동을 목적으로 하며 다양한 기능을 자랑합니다. 이 안전하지 않은 소프트웨어는 대상 컴퓨터의 특정 특성을 식별하고, 디렉터리와 파일을 나열하고, 손상된 시스템에서 선택적으로 파일을 업로드하고, 셸 명령을 실행하고, 손상된 시스템에 파일을 다운로드할 수 있습니다.

SideTwist 악성 코드와 Menorah를 비교하는 철저한 분석을 통해 연구원들은 특히 기능 측면에서 둘 사이의 실질적인 유사점을 식별했습니다. 이러한 악성 코드 변종은 셸 명령을 실행하고 파일 업로드 및 다운로드를 촉진하는 유사한 백도어 기능을 나타냅니다.

그러나 SideTwist의 이전 버전과 달리 이 새로운 위협에는 명령 및 제어(C&C) 서버에 대한 트래픽을 난독화하는 추가 기능이 포함되어 있어 탐지를 회피할 수 있는 은밀성을 강화합니다. 처음에 악성코드는 실행 중에 특정 인수를 확인하여 적절한 실행 흐름을 보장합니다. 지정된 인수가 없으면 악성코드가 종료되고 작업이 중단됩니다. 이 정기 검사는 맬웨어의 은밀한 동작을 유지하고 샌드박스와 같은 분석 환경 내에서 작동하는지 여부를 식별하는 데 사용됩니다. 인수가 샌드박스 내에서 실행 중임을 나타내는 경우 맬웨어는 인수 없이 진행되지만 궁극적으로 자체 종료됩니다.

이후 악성코드는 컴퓨터 이름, 사용자 이름 등의 정보를 수집하여 감염된 컴퓨터의 지문을 채취합니다. 그런 다음 이 지문은 HTTP 요청 내의 콘텐츠 형식으로 C&C 서버에 전송됩니다.