Menorah Malware

Avanserte cyberkriminalitetsoperatører med bånd til Iran, sporet under aliaset 'OilRig', har utført en målrettet spyd-phishing-operasjon som distribuerer en fersk variant av en truende programvare kjent som Menorah. Denne spesielle skadevare er laget for det eksplisitte formålet med cyberspionasje. Den har muligheten til å fastslå spesifikasjonene til en kompromittert datamaskin, få tilgang til og overføre filer fra systemet og laste ned flere filer eller skadelig programvare.

Den nøyaktige demografien til ofrene er fortsatt usikker på dette tidspunktet. Tilstedeværelsen av villedende taktikk tyder likevel sterkt på at minst ett av hovedmålene kommer fra en organisasjon som ligger innenfor grensene til Saudi-Arabia.

Menorah Malware leveres via Lure Documents

OilRig phishing-angrepet resulterer i distribusjon av en oppdatert variant av SideTwist malware, noe som innebærer pågående utviklingsinnsats. I den siste sekvensen av infeksjoner brukes et lokkedokument for å lage en planlagt oppgave for langsiktig utholdenhet, samtidig som en kjørbar fil med navnet 'Menorah.exe' slippes. Denne kjørbare filen etablerer på sin side kommunikasjon med en ekstern server, i påvente av ytterligere direktiver. Det er verdt å merke seg at kommando-og-kontroll-serveren for øyeblikket er inaktiv.

Også kjent under aliaser som APT34 , Cobalt Gypsy, Hazel Sandstorm og Helix Kitten, står OilRig som en iransk Advanced Persistent Threat (APT)-enhet med et spesialisert fokus på hemmelige etterretningsinnhenting, omhyggelig infiltrering og opprettholdelse av tilgang innenfor utpekte nettverk.

Viktige detaljer om Menorah Malware viser likhetene med en annen Malware-trussel

Skadevaren, skrevet i .NET og levert via det truende dokumentet, tjener først og fremst formålet med nettspionasje og kan skilte med et bredt spekter av funksjoner. Denne usikre programvaren er i stand til å identifisere de spesifikke egenskapene til den målrettede datamaskinen, liste opp kataloger og filer, selektivt laste opp filer fra det kompromitterte systemet, utføre skallkommandoer og laste ned filer til den kompromitterte maskinen.

Etter å ha utført en grundig analyse som sammenlignet SideTwist malware med Menorah, har forskere funnet betydelige likheter mellom de to, spesielt når det gjelder funksjonalitet. Disse malware-variantene viser lignende bakdørsfunksjoner for å utføre skallkommandoer og forenkle filopplasting og nedlasting.

I motsetning til den tidligere versjonen av SideTwist, inneholder denne nye trusselen imidlertid tilleggsfunksjoner for å skjule trafikken til kommando- og kontrollserveren (C&C), og forbedrer dens sniking for å unngå oppdagelse. Til å begynne med sjekker skadevaren etter et spesifikt argument under utførelse for å sikre riktig utførelsesflyt. I fravær av det spesifiserte argumentet vil skadelig programvare avsluttes, og stanse driften. Denne rutinekontrollen tjener til å opprettholde skadelig programvares skjulte oppførsel og identifiserer om den opererer i et analytisk miljø, for eksempel en sandkasse. Hvis argumentet indikerer at det kjører i en sandkasse, vil skadelig programvare fortsette uten argumentet, men til slutt avsluttes selv.

Deretter fortsetter skadelig programvare til å fingeravtrykke den infiserte maskinen ved å samle informasjon som maskinnavn og brukernavn. Dette fingeravtrykket blir deretter overført til C&C-serveren i form av innhold i en HTTP-forespørsel.