Menorah Malware

Zaawansowani agenci cyberprzestępczości powiązani z Iranem, śledzeni pod pseudonimem „OilRig”, przeprowadzają ukierunkowaną operację phishingu typu spear-phishing, w ramach której wdrażają nowy wariant groźnego oprogramowania znanego jako Menorah. To konkretne złośliwe oprogramowanie zostało stworzone w wyraźnym celu, jakim jest cyberszpiegostwo. Może poszczycić się możliwością sprawdzenia specyfikacji zaatakowanego komputera, uzyskiwania dostępu do plików i przesyłania ich z tego systemu, a także pobierania dodatkowych plików lub złośliwego oprogramowania.

Dokładna grupa demograficzna ofiar pozostaje na tym etapie niepewna. Niemniej jednak obecność oszukańczych taktyk zdecydowanie sugeruje, że co najmniej jeden z głównych celów pochodzi z organizacji zlokalizowanej w granicach Arabii Saudyjskiej.

Złośliwe oprogramowanie Menorah jest dostarczane za pośrednictwem dokumentów Lure

Atak phishingowy OilRig skutkuje wdrożeniem zaktualizowanej wersji złośliwego oprogramowania SideTwist, co oznacza ciągłe wysiłki rozwojowe. W najnowszej sekwencji infekcji dokument-przynęta wykorzystuje się do utworzenia zaplanowanego zadania zapewniającego długoterminową trwałość, jednocześnie usuwając plik wykonywalny o nazwie „Menorah.exe”. Ten plik wykonywalny z kolei nawiązuje komunikację ze zdalnym serwerem oczekującym na dalsze instrukcje. Warto zauważyć, że serwer dowodzenia jest obecnie nieaktywny.

Znany również pod pseudonimami takimi jak APT34 , Cobalt Gypsy, Hazel Sandstorm i Helix Kitten, OilRig to irańska jednostka zajmująca się zaawansowanym trwałym zagrożeniem (APT), specjalizująca się w tajnych przedsięwzięciach gromadzenia danych wywiadowczych, skrupulatnej infiltracji i utrzymywaniu dostępu w wyznaczonych sieciach.

Ważne szczegóły dotyczące złośliwego oprogramowania Menorah pokazują jego podobieństwo do innego zagrożenia złośliwym oprogramowaniem

Szkodnik napisany w .NET i dostarczany za pośrednictwem dokumentu zawierającego groźby służy przede wszystkim celom cyberszpiegostwa i oferuje szeroki wachlarz możliwości. To niebezpieczne oprogramowanie jest w stanie zidentyfikować specyficzne cechy docelowego komputera, wyświetlić listę katalogów i plików, selektywnie przesyłać pliki z zaatakowanego systemu, wykonywać polecenia powłoki i pobierać pliki na zaatakowaną maszynę.

Po przeprowadzeniu dokładnej analizy porównującej szkodliwe oprogramowanie SideTwist z Menorah badacze zauważyli znaczne podobieństwa między nimi, szczególnie pod względem funkcjonalności. Te warianty złośliwego oprogramowania wykazują podobne funkcje backdoora umożliwiające wykonywanie poleceń powłoki oraz ułatwianie przesyłania i pobierania plików.

Jednak w przeciwieństwie do wcześniejszej wersji SideTwist, to nowe zagrożenie zawiera dodatkowe funkcje maskujące ruch do serwera dowodzenia i kontroli (C&C), zwiększając jego ukrywanie się w celu uniknięcia wykrycia. Początkowo złośliwe oprogramowanie sprawdza podczas wykonywania określony argument, aby zapewnić prawidłowy przebieg wykonania. W przypadku braku określonego argumentu szkodliwe oprogramowanie zakończy działanie, wstrzymując swoje działanie. Ta rutynowa kontrola ma na celu utrzymanie ukrytego zachowania szkodliwego oprogramowania i określenie, czy działa ono w środowisku analitycznym, takim jak piaskownica. Jeśli argument wskazuje, że działa w piaskownicy, szkodliwe oprogramowanie będzie działać bez argumentu, ale ostatecznie ulegnie samozniszczeniu.

Następnie złośliwe oprogramowanie pobiera odciski palców zainfekowanej maszyny, zbierając informacje, takie jak nazwa komputera i nazwa użytkownika. Ten odcisk palca jest następnie przesyłany do serwera C&C w formie treści w ramach żądania HTTP.