Menorah Malware

Uzlaboti kibernoziedzības darbinieki, kas saistīti ar Irānu un tiek izsekoti ar aizstājvārdu “OilRig”, ir veikuši mērķtiecīgu pikšķerēšanas operāciju, kas izvieto jaunu draudošās programmatūras variantu, kas pazīstams kā Menorah. Šī konkrētā ļaunprogrammatūra ir izstrādāta skaidram kiberspiegošanas mērķim. Tas lepojas ar iespēju noskaidrot apdraudēta datora specifikācijas, piekļūt failiem un pārsūtīt tos no minētās sistēmas, kā arī lejupielādēt papildu failus vai ļaunprātīgu programmatūru.

Precīza upuru demogrāfija šobrīd joprojām nav skaidra. Tomēr maldinošas taktikas klātbūtne liecina, ka vismaz viens no galvenajiem mērķiem ir no organizācijas, kas atrodas Saūda Arābijas robežās.

Menorah ļaunprogrammatūra tiek piegādāta, izmantojot Lure dokumentus

OilRig pikšķerēšanas uzbrukuma rezultātā tiek izvietots atjaunināts SideTwist ļaundabīgās programmatūras variants, kas nozīmē nepārtrauktus attīstības centienus. Jaunākajā infekciju secībā tiek izmantots ēsmas dokuments, lai izveidotu ieplānotu uzdevumu ilgstošai noturībai, vienlaikus nometot izpildāmo failu ar nosaukumu "Menorah.exe". Šis izpildāmais fails, savukārt, izveido saziņu ar attālo serveri, gaidot turpmākās direktīvas. Ir vērts atzīmēt, ka komandu un vadības serveris pašlaik ir neaktīvs.

Pazīstams arī ar tādiem aizstājvārdiem kā APT34 , Cobalt Gypsy, Hazel Sandstorm un Helix Kitten, OilRig ir Irānas uzlaboto pastāvīgo draudu (APT) vienība, kas īpaši koncentrējas uz slepeniem izlūkdatu vākšanas centieniem, rūpīgi iefiltrējoties un nodrošinot piekļuvi tīklam.

Svarīga informācija par Menorah ļaunprātīgu programmatūru parāda tās līdzības ar citu ļaunprātīgas programmatūras draudiem

Ļaunprātīgā programmatūra, kas ir rakstīta .NET un tiek piegādāta, izmantojot draudošu dokumentu, galvenokārt kalpo kiberspiegošanai, un tai ir plašs iespēju klāsts. Šī nedrošā programmatūra spēj identificēt mērķa datora specifiskos raksturlielumus, uzskaitīt direktorijus un failus, selektīvi augšupielādēt failus no apdraudētās sistēmas, izpildīt čaulas komandas un lejupielādēt failus apdraudētajā datorā.

Veicot rūpīgu analīzi, salīdzinot SideTwist ļaunprogrammatūru ar Menorah, pētnieki ir atklājuši būtiskas līdzības starp abiem, jo īpaši funkcionalitātes ziņā. Šiem ļaunprogrammatūras variantiem ir līdzīgas aizmugures durvis, lai izpildītu čaulas komandas un atvieglotu failu augšupielādi un lejupielādi.

Tomēr, atšķirībā no iepriekšējās SideTwist versijas, šis jaunais apdraudējums ietver papildu funkcijas, lai aizēnotu trafiku uz komandu un kontroles (C&C) serveri, uzlabojot tā slepenību, lai izvairītos no atklāšanas. Sākotnēji ļaunprātīga programmatūra izpildes laikā pārbauda konkrētu argumentu, lai nodrošinātu pareizu izpildes plūsmu. Ja norādītā argumenta nav, ļaunprogrammatūra tiks pārtraukta, apturot tās darbību. Šī kārtējā pārbaude kalpo, lai uzturētu ļaunprātīgas programmatūras slēpto darbību un noteiktu, vai tā darbojas analītiskā vidē, piemēram, smilšu kastē. Ja arguments norāda, ka tā darbojas smilškastes iekšienē, ļaunprogrammatūra turpināsies bez argumenta, bet galu galā pati izbeigsies.

Pēc tam ļaunprogrammatūra noņem inficētās iekārtas pirkstu nospiedumus, savācot tādu informāciju kā iekārtas nosaukums un lietotājvārds. Pēc tam šis pirkstu nospiedums HTTP pieprasījuma satura veidā tiek pārsūtīts uz C&C serveri.