Menorah Malware

ਈਰਾਨ ਨਾਲ ਸਬੰਧਾਂ ਵਾਲੇ ਉੱਨਤ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਆਪਰੇਟਿਵ, ਉਰਫ 'ਓਲਰਿਗ' ਦੇ ਤਹਿਤ ਟਰੈਕ ਕੀਤੇ ਗਏ, ਇੱਕ ਨਿਸ਼ਾਨਾ ਬਰਛੀ-ਫਿਸ਼ਿੰਗ ਓਪਰੇਸ਼ਨ ਕਰ ਰਹੇ ਹਨ ਜੋ ਮੇਨੋਰਾਹ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਧਮਕੀ ਭਰੇ ਸੌਫਟਵੇਅਰ ਦਾ ਇੱਕ ਨਵਾਂ ਰੂਪ ਤੈਨਾਤ ਕਰਦਾ ਹੈ। ਇਹ ਖਾਸ ਮਾਲਵੇਅਰ ਸਾਈਬਰ ਜਾਸੂਸੀ ਦੇ ਸਪਸ਼ਟ ਉਦੇਸ਼ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਸਮਝੌਤਾ ਕੀਤੇ ਕੰਪਿਊਟਰ ਦੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ, ਉਕਤ ਸਿਸਟਮ ਤੋਂ ਫਾਈਲਾਂ ਤੱਕ ਪਹੁੰਚ ਅਤੇ ਸੰਚਾਰਿਤ ਕਰਨ ਅਤੇ ਵਾਧੂ ਫਾਈਲਾਂ ਜਾਂ ਮਾਲਵੇਅਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਦਾ ਮਾਣ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ।

ਇਸ ਮੌਕੇ 'ਤੇ ਪੀੜਤਾਂ ਦੀ ਸਹੀ ਜਨਸੰਖਿਆ ਅਨਿਸ਼ਚਿਤ ਹੈ। ਫਿਰ ਵੀ, ਧੋਖੇਬਾਜ਼ ਚਾਲਾਂ ਦੀ ਮੌਜੂਦਗੀ ਜ਼ੋਰਦਾਰ ਢੰਗ ਨਾਲ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ ਕਿ ਘੱਟੋ-ਘੱਟ ਪ੍ਰਾਇਮਰੀ ਟੀਚਿਆਂ ਵਿੱਚੋਂ ਇੱਕ ਸਾਊਦੀ ਅਰਬ ਦੀਆਂ ਸਰਹੱਦਾਂ ਦੇ ਅੰਦਰ ਸਥਿਤ ਇੱਕ ਸੰਗਠਨ ਦਾ ਹੈ।

Menorah Malware ਨੂੰ ਲਾਲਚ ਦਸਤਾਵੇਜ਼ਾਂ ਰਾਹੀਂ ਡਿਲੀਵਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ

OilRig ਫਿਸ਼ਿੰਗ ਹਮਲੇ ਦਾ ਨਤੀਜਾ SideTwist ਮਾਲਵੇਅਰ ਦੇ ਇੱਕ ਅੱਪਡੇਟ ਵੇਰੀਐਂਟ ਦੀ ਤੈਨਾਤੀ ਵਿੱਚ ਹੁੰਦਾ ਹੈ, ਜੋ ਕਿ ਚੱਲ ਰਹੇ ਵਿਕਾਸ ਯਤਨਾਂ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਲਾਗਾਂ ਦੇ ਸਭ ਤੋਂ ਤਾਜ਼ਾ ਕ੍ਰਮ ਵਿੱਚ, 'Menorah.exe' ਨਾਮ ਦੀ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲ ਨੂੰ ਛੱਡਣ ਦੇ ਨਾਲ-ਨਾਲ ਲੰਬੇ ਸਮੇਂ ਲਈ ਨਿਰੰਤਰਤਾ ਲਈ ਇੱਕ ਅਨੁਸੂਚਿਤ ਕਾਰਜ ਬਣਾਉਣ ਲਈ ਇੱਕ ਦਾਣਾ ਦਸਤਾਵੇਜ਼ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਐਗਜ਼ੀਕਿਊਟੇਬਲ, ਬਦਲੇ ਵਿੱਚ, ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਦਾ ਹੈ, ਅਗਲੇ ਨਿਰਦੇਸ਼ਾਂ ਦੀ ਉਡੀਕ ਵਿੱਚ। ਇਹ ਧਿਆਨ ਦੇਣ ਯੋਗ ਹੈ ਕਿ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ ਇਸ ਸਮੇਂ ਅਕਿਰਿਆਸ਼ੀਲ ਹੈ।

APT34 , Cobalt Gypsy, Hazel Sandstorm, ਅਤੇ Helix Kitten ਵਰਗੇ ਉਪਨਾਮਾਂ ਦੁਆਰਾ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, OilRig ਇੱਕ ਇਰਾਨੀ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੀਟ (APT) ਇਕਾਈ ਦੇ ਰੂਪ ਵਿੱਚ ਖੜ੍ਹੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਗੁਪਤ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਦੇ ਯਤਨਾਂ 'ਤੇ ਵਿਸ਼ੇਸ਼ ਫੋਕਸ ਹੈ, ਸੂਝ-ਬੂਝ ਨਾਲ ਘੁਸਪੈਠ ਕਰਨ ਵਾਲੇ ਨੈਟਵਰਕ ਅਤੇ ਡਿਜ਼ਾਈਨ ਦੇ ਅੰਦਰ ਅੰਦਰੂਨੀ ਪਹੁੰਚ।

ਮੇਨੋਰਾਹ ਮਾਲਵੇਅਰ ਬਾਰੇ ਮਹੱਤਵਪੂਰਨ ਵੇਰਵੇ ਇੱਕ ਹੋਰ ਮਾਲਵੇਅਰ ਖ਼ਤਰੇ ਨਾਲ ਇਸਦੀ ਸਮਾਨਤਾਵਾਂ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ

ਮਾਲਵੇਅਰ, .NET ਵਿੱਚ ਲਿਖਿਆ ਗਿਆ ਹੈ ਅਤੇ ਧਮਕੀ ਭਰੇ ਦਸਤਾਵੇਜ਼ ਰਾਹੀਂ ਡਿਲੀਵਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਮੁੱਖ ਤੌਰ 'ਤੇ ਸਾਈਬਰ ਜਾਸੂਸੀ ਦੇ ਉਦੇਸ਼ ਨੂੰ ਪੂਰਾ ਕਰਦਾ ਹੈ ਅਤੇ ਸਮਰੱਥਾਵਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਦਾ ਮਾਣ ਕਰਦਾ ਹੈ। ਇਹ ਅਸੁਰੱਖਿਅਤ ਸੌਫਟਵੇਅਰ ਟਾਰਗੇਟ ਕੀਤੇ ਕੰਪਿਊਟਰ ਦੀਆਂ ਖਾਸ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੀ ਪਛਾਣ ਕਰਨ, ਡਾਇਰੈਕਟਰੀਆਂ ਅਤੇ ਫਾਈਲਾਂ ਨੂੰ ਸੂਚੀਬੱਧ ਕਰਨ, ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਤੋਂ ਫਾਈਲਾਂ ਨੂੰ ਚੋਣਵੇਂ ਰੂਪ ਵਿੱਚ ਅੱਪਲੋਡ ਕਰਨ, ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ, ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੀ ਮਸ਼ੀਨ ਉੱਤੇ ਫਾਈਲਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ।

ਮੇਨੋਰਾਹ ਦੇ ਨਾਲ ਸਾਈਡਟਵਿਸਟ ਮਾਲਵੇਅਰ ਦੀ ਤੁਲਨਾ ਕਰਦੇ ਹੋਏ ਇੱਕ ਡੂੰਘਾਈ ਨਾਲ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨ 'ਤੇ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਖਾਸ ਤੌਰ 'ਤੇ ਕਾਰਜਸ਼ੀਲਤਾ ਦੇ ਮਾਮਲੇ ਵਿੱਚ, ਦੋਵਾਂ ਵਿਚਕਾਰ ਕਾਫ਼ੀ ਸਮਾਨਤਾਵਾਂ ਨੂੰ ਦੇਖਿਆ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਰੂਪ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਅਤੇ ਫਾਈਲ ਅਪਲੋਡ ਅਤੇ ਡਾਉਨਲੋਡਸ ਦੀ ਸਹੂਲਤ ਲਈ ਸਮਾਨ ਬੈਕਡੋਰ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦੇ ਹਨ।

ਹਾਲਾਂਕਿ, SideTwist ਦੇ ਪੁਰਾਣੇ ਸੰਸਕਰਣ ਦੇ ਉਲਟ, ਇਸ ਨਵੀਂ ਧਮਕੀ ਵਿੱਚ ਕਮਾਂਡ ਅਤੇ ਕੰਟਰੋਲ (C&C) ਸਰਵਰ ਲਈ ਟ੍ਰੈਫਿਕ ਨੂੰ ਅਸਪਸ਼ਟ ਕਰਨ ਲਈ ਵਾਧੂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਸ਼ਾਮਲ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ, ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਇਸਦੀ ਗੁਪਤਤਾ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ। ਸ਼ੁਰੂ ਵਿੱਚ, ਮਾਲਵੇਅਰ ਸਹੀ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪ੍ਰਵਾਹ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੌਰਾਨ ਇੱਕ ਖਾਸ ਆਰਗੂਮੈਂਟ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ। ਨਿਸ਼ਚਿਤ ਦਲੀਲ ਦੀ ਅਣਹੋਂਦ ਵਿੱਚ, ਮਾਲਵੇਅਰ ਇਸ ਦੇ ਕਾਰਜਾਂ ਨੂੰ ਰੋਕਦੇ ਹੋਏ ਸਮਾਪਤ ਹੋ ਜਾਵੇਗਾ। ਇਹ ਰੁਟੀਨ ਜਾਂਚ ਮਾਲਵੇਅਰ ਦੇ ਗੁਪਤ ਵਿਵਹਾਰ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਲਈ ਕੰਮ ਕਰਦੀ ਹੈ ਅਤੇ ਇਹ ਪਛਾਣ ਕਰਦੀ ਹੈ ਕਿ ਕੀ ਇਹ ਇੱਕ ਵਿਸ਼ਲੇਸ਼ਣਾਤਮਕ ਵਾਤਾਵਰਣ ਵਿੱਚ ਕੰਮ ਕਰ ਰਿਹਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਸੈਂਡਬੌਕਸ। ਜੇਕਰ ਦਲੀਲ ਇਹ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਇਹ ਇੱਕ ਸੈਂਡਬੌਕਸ ਦੇ ਅੰਦਰ ਚੱਲ ਰਿਹਾ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਬਿਨਾਂ ਕਿਸੇ ਦਲੀਲ ਦੇ ਅੱਗੇ ਵਧੇਗਾ ਪਰ ਅੰਤ ਵਿੱਚ ਸਵੈ-ਬੰਦ ਹੋ ਜਾਵੇਗਾ।

ਇਸ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਮਸ਼ੀਨ ਦਾ ਨਾਮ ਅਤੇ ਉਪਭੋਗਤਾ ਨਾਮ ਵਰਗੀ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਕੇ ਸੰਕਰਮਿਤ ਮਸ਼ੀਨ ਨੂੰ ਫਿੰਗਰਪ੍ਰਿੰਟ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦਾ ਹੈ। ਇਹ ਫਿੰਗਰਪ੍ਰਿੰਟ ਫਿਰ ਇੱਕ HTTP ਬੇਨਤੀ ਦੇ ਅੰਦਰ ਸਮੱਗਰੀ ਦੇ ਰੂਪ ਵਿੱਚ C&C ਸਰਵਰ ਨੂੰ ਸੰਚਾਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।