Menorah-malware

Geavanceerde cybercriminelen met banden met Iran, gevolgd onder de alias 'OilRig', hebben een gerichte spearphishing-operatie uitgevoerd waarbij een nieuwe variant van bedreigende software wordt ingezet die bekend staat als Menorah. Deze specifieke malware is gemaakt met het expliciete doel cyberspionage. Het beschikt over de mogelijkheid om de specificaties van een aangetaste computer te achterhalen, bestanden van dat systeem te openen en te verzenden en extra bestanden of malware te downloaden.

De precieze demografie van de slachtoffers blijft op dit moment onzeker. Niettemin duidt de aanwezigheid van misleidende tactieken er sterk op dat ten minste één van de voornaamste doelwitten afkomstig is van een organisatie die zich binnen de grenzen van Saoedi-Arabië bevindt.

De Menorah-malware wordt geleverd via Lure-documenten

De phishing-aanval van OilRig resulteert in de inzet van een bijgewerkte variant van de SideTwist-malware, wat voortdurende ontwikkelingsinspanningen impliceert. In de meest recente reeks infecties wordt een lokdocument gebruikt om een geplande taak te creëren voor langdurig persistentie, terwijl tegelijkertijd een uitvoerbaar bestand met de naam 'Menorah.exe' wordt verwijderd. Dit uitvoerbare bestand brengt op zijn beurt communicatie tot stand met een externe server, in afwachting van verdere richtlijnen. Het is vermeldenswaard dat de command-and-control-server momenteel inactief is.

OilRig, ook bekend onder aliassen als APT34 , Cobalt Gypsy, Hazel Sandstorm en Helix Kitten, staat als een Iraanse Advanced Persistent Threat (APT)-entiteit met een gespecialiseerde focus op clandestiene inspanningen voor het verzamelen van inlichtingen, waarbij nauwgezet wordt geïnfiltreerd en de toegang binnen aangewezen netwerken wordt behouden.

Belangrijke details over de Menorah-malware tonen overeenkomsten met een andere malwaredreiging

De malware, geschreven in .NET en geleverd via het bedreigende document, dient voornamelijk voor cyberspionage en beschikt over een breed scala aan mogelijkheden. Deze onveilige software is in staat de specifieke kenmerken van de beoogde computer te identificeren, mappen en bestanden weer te geven, selectief bestanden van het aangetaste systeem te uploaden, shell-opdrachten uit te voeren en bestanden naar de aangetaste machine te downloaden.

Bij het uitvoeren van een grondige analyse waarbij de SideTwist-malware werd vergeleken met Menorah, hebben onderzoekers substantiële overeenkomsten tussen de twee ontdekt, vooral in termen van functionaliteit. Deze malwarevarianten vertonen vergelijkbare achterdeurfunctionaliteiten voor het uitvoeren van shell-opdrachten en het vergemakkelijken van het uploaden en downloaden van bestanden.

In tegenstelling tot de eerdere versie van SideTwist bevat deze nieuwe dreiging echter extra functies om het verkeer naar de command and control (C&C)-server te verdoezelen, waardoor de heimelijkheid wordt vergroot om detectie te omzeilen. In eerste instantie controleert de malware tijdens de uitvoering op een specifiek argument om de juiste uitvoeringsstroom te garanderen. Als het opgegeven argument ontbreekt, wordt de malware beëindigd en worden de activiteiten stopgezet. Deze routinecontrole dient om het geheime gedrag van de malware in stand te houden en identificeert of deze binnen een analytische omgeving, zoals een sandbox, werkt. Als het argument aangeeft dat de malware in een sandbox draait, gaat de malware verder zonder het argument, maar eindigt hij uiteindelijk vanzelf.

Vervolgens gaat de malware verder met het nemen van vingerafdrukken op de geïnfecteerde machine door informatie te verzamelen, zoals de machinenaam en gebruikersnaam. Deze vingerafdruk wordt vervolgens in de vorm van inhoud binnen een HTTP-verzoek naar de C&C-server verzonden.