„Menorah“ kenkėjiška programa

Pažangūs kibernetinių nusikaltimų darbuotojai, susiję su Iranu, sekami slapyvardžiu „OilRig“, vykdo tikslinę sukčiavimo spygliu operaciją, kuri diegia naują grėsmingos programinės įrangos, žinomos kaip Menorah, variantą. Ši konkreti kenkėjiška programa buvo sukurta aiškiam kibernetinio šnipinėjimo tikslui. Ji gali pasigirti galimybe nustatyti pažeisto kompiuterio specifikacijas, pasiekti ir perduoti failus iš minėtos sistemos bei atsisiųsti papildomų failų ar kenkėjiškų programų.

Tiksli aukų demografija šiuo metu lieka neaiški. Nepaisant to, apgaulingos taktikos buvimas aiškiai rodo, kad bent vienas iš pagrindinių taikinių yra iš organizacijos, esančios Saudo Arabijos ribose.

Kenkėjiška „Menorah“ programa pristatoma per „Lure“ dokumentus

Dėl „OilRig“ sukčiavimo atakos buvo įdiegtas atnaujintas „SideTwist“ kenkėjiškos programos variantas, o tai reiškia nuolatines kūrimo pastangas. Naujausioje infekcijų sekoje masalo dokumentas naudojamas suplanuotai ilgalaikei užduočiai sukurti, tuo pačiu metu išmetant vykdomąjį failą pavadinimu „Menorah.exe“. Šis vykdomasis failas, savo ruožtu, užmezga ryšį su nuotoliniu serveriu, laukiant tolesnių nurodymų. Verta paminėti, kad komandų ir valdymo serveris šiuo metu neaktyvus.

Taip pat žinomas tokiais slapyvardžiais kaip APT34 , Cobalt Gypsy, Hazel Sandstorm ir Helix Kitten, OilRig yra Irano Advanced Persistent Threat (APT) subjektas, daugiausia dėmesio skiriantis slaptoms žvalgybos pastangoms rinkti, kruopščiai įsiskverbti ir palaikyti prieigą prie suprojektuotų tinklų.

Svarbi informacija apie „Menorah“ kenkėjišką programą rodo jos panašumus su kita kenkėjiškų programų grėsme

Kenkėjiška programa, parašyta .NET ir pateikta per grėsmingą dokumentą, visų pirma skirta kibernetiniam šnipinėjimui ir gali pasigirti daugybe galimybių. Ši nesaugi programinė įranga gali nustatyti specifines tikslinio kompiuterio charakteristikas, sudaryti katalogų ir failų sąrašą, pasirinktinai įkelti failus iš pažeistos sistemos, vykdyti apvalkalo komandas ir atsisiųsti failus į pažeistą įrenginį.

Atlikę nuodugnią analizę, lygindami „SideTwist“ kenkėjišką programą su „Menorah“, mokslininkai pastebėjo esminių panašumų tarp šių dviejų, ypač funkcionalumo požiūriu. Šie kenkėjiškų programų variantai turi panašias galinių durų funkcijas, skirtas vykdyti apvalkalo komandas ir palengvinti failų įkėlimą ir atsisiuntimą.

Tačiau, priešingai nei ankstesnėje SideTwist versijoje, ši nauja grėsmė apima papildomų funkcijų, skirtų užtemdyti srautą į komandų ir valdymo (C&C) serverį, padidinant jo slaptumą, kad būtų išvengta aptikimo. Iš pradžių kenkėjiška programa patikrina konkretų argumentą vykdymo metu, kad užtikrintų tinkamą vykdymo eigą. Nesant nurodyto argumento, kenkėjiška programa nustos veikti ir sustabdys savo veiklą. Šis įprastas patikrinimas skirtas apsaugoti kenkėjiškos programos slaptą elgesį ir nustatyti, ar ji veikia analitinėje aplinkoje, pvz., smėlio dėžėje. Jei argumentas rodo, kad ji veikia smėlio dėžėje, kenkėjiška programa veiks be argumento, bet galiausiai pati baigsis.

Vėliau kenkėjiška programa paima užkrėsto įrenginio pirštų atspaudus, rinkdama informaciją, pvz., įrenginio pavadinimą ir vartotojo vardą. Tada šis piršto atspaudas perduodamas į C&C serverį turinio pavidalu HTTP užklausoje.