Menorah मालवेयर
'OilRig' उपनाम अन्तर्गत ट्र्याक गरिएका इरानसँगको सम्बन्धका साथ उन्नत साइबर क्राइम अपरेटिभहरूले लक्षित भाला-फिशिङ अपरेसनहरू सञ्चालन गर्दै आएका छन् जसले मेनोराह भनेर चिनिने खतरा सफ्टवेयरको नयाँ संस्करण प्रयोग गर्दछ। यो विशेष मालवेयर साइबर जासूसी को स्पष्ट उद्देश्य को लागी तैयार गरिएको छ। यसले सम्झौता भएको कम्प्युटरको विशिष्टताहरू पत्ता लगाउन, उक्त प्रणालीबाट फाइलहरू पहुँच गर्न र ट्रान्समिट गर्ने र थप फाइलहरू वा मालवेयर डाउनलोड गर्ने क्षमताको गर्व गर्दछ।
यस समयमा पीडितहरूको सटीक जनसांख्यिकीय अनिश्चित रहन्छ। जे होस्, भ्रामक रणनीतिहरूको उपस्थितिले दृढतापूर्वक सुझाव दिन्छ कि कम्तिमा एक प्राथमिक लक्ष्य साउदी अरेबियाको सिमाना भित्र अवस्थित संगठनबाट आएको हो।
Menorah मालवेयर Lure कागजातहरू मार्फत डेलिभर गरिएको छ
OilRig फिसिङ आक्रमणले SideTwist मालवेयरको अद्यावधिक संस्करणको तैनातीमा परिणाम दिन्छ, जारी विकास प्रयासहरूलाई संकेत गर्दै। संक्रमणको सबैभन्दा हालैको अनुक्रममा, 'Menorah.exe' नामक कार्यान्वयनयोग्य फाइललाई एकै साथ छोड्दा लामो समयसम्म निरन्तरताका लागि निर्धारित कार्य सिर्जना गर्न चारा कागजात प्रयोग गरिन्छ। यो कार्यान्वयनयोग्य, बारीमा, रिमोट सर्भरसँग सञ्चार स्थापना गर्दछ, थप निर्देशनहरूको पर्खाइमा। यो ध्यान दिन लायक छ कि आदेश र नियन्त्रण सर्भर हाल निष्क्रिय छ।
APT34 , Cobalt Gypsy, Hazel Sandstorm, र Helix Kitten जस्ता उपनामहरू द्वारा पनि चिनिन्छ, OilRig एक ईरानी उन्नत पर्सिस्टेन्ट थ्रेट (APT) संस्थाको रूपमा खडा छ जुन गुप्त खुफिया-भेला गर्ने प्रयासहरूमा विशेष फोकसको साथ, सावधानीपूर्वक घुसपैठ गर्ने सञ्जाल र पहुँच भित्रको पहुँच।
Menorah मालवेयरको बारेमा महत्त्वपूर्ण विवरणहरूले अर्को मालवेयर खतरासँग यसको समानता देखाउँदछ
.NET मा लेखिएको र धम्कीपूर्ण कागजात मार्फत डेलिभर गरिएको मालवेयरले मुख्यतया साइबर जासूसीको उद्देश्य पूरा गर्दछ र क्षमताहरूको विस्तृत श्रृंखलाको गर्व गर्दछ। यो असुरक्षित सफ्टवेयरले लक्षित कम्प्युटरको विशिष्ट विशेषताहरू पहिचान गर्न, डाइरेक्टरीहरू र फाइलहरू सूचीबद्ध गर्न, छनोट गरिएको प्रणालीबाट फाइलहरू अपलोड गर्न, शेल आदेशहरू कार्यान्वयन गर्न, र सम्झौता गरिएको मेसिनमा फाइलहरू डाउनलोड गर्न सक्षम छ।
मेनोराहसँग SideTwist मालवेयरको तुलना गर्ने गहिरो विश्लेषण गर्दा, अनुसन्धानकर्ताहरूले विशेष गरी कार्यक्षमताको सर्तमा यी दुई बीचको पर्याप्त समानताहरू पत्ता लगाएका छन्। यी मालवेयर भेरियन्टहरूले शेल आदेशहरू कार्यान्वयन गर्न र फाइल अपलोड र डाउनलोडहरू सहज बनाउनको लागि समान ब्याकडोर कार्यक्षमताहरू प्रदर्शन गर्दछ।
यद्यपि, SideTwist को अघिल्लो संस्करणको विपरित, यो नयाँ खतराले कमाण्ड र कन्ट्रोल (C&C) सर्भरमा ट्राफिकलाई अस्पष्ट पार्न थप सुविधाहरू समावेश गर्दछ, पत्ता लगाउनबाट बच्न यसको गुप्तता बढाउँछ। प्रारम्भमा, मालवेयरले उचित कार्यान्वयन प्रवाह सुनिश्चित गर्न निष्पादनको समयमा एक विशेष तर्कको लागि जाँच गर्दछ। निर्दिष्ट तर्कको अनुपस्थितिमा, मालवेयर समाप्त हुनेछ, यसको सञ्चालनहरू रोकिनेछ। यो नियमित जाँचले मालवेयरको गुप्त व्यवहारलाई कायम राख्न र स्यान्डबक्स जस्ता विश्लेषणात्मक वातावरणमा काम गरिरहेको छ कि छैन भनेर पहिचान गर्छ। यदि तर्कले यो स्यान्डबक्स भित्र चलिरहेको संकेत गर्छ भने, मालवेयर तर्क बिना अगाडि बढ्नेछ तर अन्ततः स्व-समाप्त हुनेछ।
त्यसपछि, मालवेयरले मेसिनको नाम र प्रयोगकर्ता नाम जस्ता जानकारी सङ्कलन गरेर संक्रमित मेसिनको फिंगरप्रिन्ट गर्न अगाडि बढ्छ। यो फिंगरप्रिन्ट त्यसपछि HTTP अनुरोध भित्र सामग्रीको रूपमा C&C सर्भरमा पठाइन्छ।
