Menorah Malware

Koperasi jenayah siber lanjutan yang mempunyai hubungan dengan Iran, yang dijejaki di bawah alias 'OilRig,' telah menjalankan operasi pancingan lembing yang disasarkan yang menggunakan varian baharu perisian mengancam yang dikenali sebagai Menorah. Perisian hasad khusus ini telah direka untuk tujuan pengintipan siber yang jelas. Ia mempunyai keupayaan untuk memastikan spesifikasi komputer yang terjejas, mengakses dan menghantar fail daripada sistem tersebut dan memuat turun fail tambahan atau perisian hasad.

Demografi tepat mangsa masih tidak pasti pada ketika ini. Namun begitu, kehadiran taktik menipu amat menunjukkan bahawa sekurang-kurangnya satu daripada sasaran utama berasal dari organisasi yang terletak di dalam sempadan Arab Saudi.

Perisian Hasad Menorah Dihantar melalui Dokumen Pemikat

Serangan pancingan data OilRig mengakibatkan penggunaan varian perisian hasad SideTwist yang dikemas kini, membayangkan usaha pembangunan yang berterusan. Dalam urutan jangkitan terbaharu, dokumen umpan digunakan untuk mencipta tugas berjadual untuk kegigihan jangka panjang sambil pada masa yang sama menjatuhkan fail boleh laku bernama 'Menorah.exe.' Boleh laku ini, seterusnya, mewujudkan komunikasi dengan pelayan jauh, menunggu arahan selanjutnya. Perlu diingat bahawa pelayan arahan dan kawalan tidak aktif pada masa ini.

Juga dikenali dengan alias seperti APT34 , Cobalt Gypsy, Hazel Sandstorm dan Helix Kitten, OilRig berdiri sebagai entiti Iranian Advanced Persistent Threat (APT) dengan tumpuan khusus pada usaha pengumpulan perisikan rahsia, menyusup dengan teliti dan mengekalkan akses dalam rangkaian yang ditetapkan.

Butiran Penting tentang Perisian Hasad Menorah Menunjukkan Persamaannya dengan Satu Lagi Ancaman Hasad

Perisian hasad, yang ditulis dalam .NET dan dihantar melalui dokumen yang mengancam, terutamanya berfungsi untuk tujuan pengintipan siber dan menawarkan pelbagai keupayaan. Perisian yang tidak selamat ini mampu mengenal pasti ciri khusus komputer yang disasarkan, menyenaraikan direktori dan fail, memuat naik fail secara terpilih daripada sistem yang terjejas, melaksanakan arahan shell dan memuat turun fail ke mesin yang terjejas.

Setelah menjalankan analisis menyeluruh membandingkan perisian hasad SideTwist dengan Menorah, penyelidik telah melihat persamaan yang ketara antara kedua-duanya, terutamanya dari segi kefungsian. Varian perisian hasad ini mempamerkan fungsi pintu belakang yang serupa untuk melaksanakan arahan shell dan memudahkan muat naik dan muat turun fail.

Walau bagaimanapun, berbeza dengan versi SideTwist yang lebih awal, ancaman baharu ini menggabungkan ciri tambahan untuk mengelirukan trafik ke pelayan arahan dan kawalan (C&C), meningkatkan kesembunyiannya untuk mengelak pengesanan. Pada mulanya, perisian hasad menyemak hujah tertentu semasa pelaksanaan untuk memastikan aliran pelaksanaan yang betul. Sekiranya tiada hujah yang dinyatakan, perisian hasad akan ditamatkan, menghentikan operasinya. Pemeriksaan rutin ini berfungsi untuk mengekalkan tingkah laku rahsia perisian hasad dan mengenal pasti sama ada ia beroperasi dalam persekitaran analitikal, seperti kotak pasir. Jika hujah menunjukkan bahawa ia berjalan dalam kotak pasir, perisian hasad akan diteruskan tanpa hujah tetapi akhirnya menamatkan sendiri.

Selepas itu, perisian hasad meneruskan cap jari mesin yang dijangkiti dengan mengumpul maklumat seperti nama mesin dan nama pengguna. Cap jari ini kemudiannya dihantar ke pelayan C&C dalam bentuk kandungan dalam permintaan HTTP.