Menorah Malware

Agenții avansați din domeniul criminalității cibernetice cu legături cu Iranul, urmăriți sub pseudonimul „OilRig”, au efectuat o operațiune de spear-phishing direcționată care implementează o nouă variantă a unui software amenințător cunoscut sub numele de Menorah. Acest malware special a fost creat în scopul explicit al spionajului cibernetic. Se mândrește cu capacitatea de a constata specificațiile unui computer compromis, de a accesa și de a transmite fișiere din sistemul menționat și de a descărca fișiere suplimentare sau malware.

Demografia precisă a victimelor rămâne incertă în acest moment. Cu toate acestea, prezența tacticilor înșelătoare sugerează cu tărie că cel puțin una dintre țintele principale provine de la o organizație situată în granițele Arabiei Saudite.

Malware-ul Menorah este livrat prin Lure Documents

Atacul de phishing OilRig are ca rezultat implementarea unei variante actualizate a malware-ului SideTwist, ceea ce implică eforturi continue de dezvoltare. În cea mai recentă secvență de infecții, un document de momeală este folosit pentru a crea o sarcină programată pentru persistență pe termen lung, în timp ce se aruncă simultan un fișier executabil numit „Menorah.exe”. Acest executabil, la rândul său, stabilește comunicarea cu un server la distanță, în așteptarea directivelor ulterioare. Este de remarcat faptul că serverul de comandă și control este în prezent inactiv.

Cunoscută și sub numele de APT34 , Cobalt Gypsy, Hazel Sandstorm și Helix Kitten, OilRig este o entitate Iranian Advanced Persistent Threat (APT) cu un accent specializat pe eforturile clandestine de colectare a informațiilor, infiltrarea meticuloasă și susținerea accesului în rețelele desemnate.

Detalii importante despre malware-ul Menorah arată asemănările sale cu o altă amenințare malware

Malware-ul, scris în .NET și livrat prin documentul amenințător, servește în primul rând scopului de spionaj cibernetic și se mândrește cu o gamă largă de capabilități. Acest software nesigur este capabil să identifice caracteristicile specifice ale computerului vizat, să enumere directoare și fișiere, să încarce selectiv fișiere din sistemul compromis, să execute comenzi shell și să descarce fișiere pe mașina compromisă.

După efectuarea unei analize amănunțite care compară malware-ul SideTwist cu Menorah, cercetătorii au descoperit asemănări substanțiale între cele două, în special în ceea ce privește funcționalitatea. Aceste variante de malware prezintă funcționalități similare backdoor pentru executarea comenzilor shell și pentru facilitarea încărcării și descărcărilor de fișiere.

Cu toate acestea, spre deosebire de versiunea anterioară a SideTwist, această nouă amenințare încorporează caracteristici suplimentare pentru a obscurca traficul către serverul de comandă și control (C&C), sporindu-și caracterul ascuns pentru a evita detectarea. Inițial, malware-ul verifică un anumit argument în timpul execuției pentru a asigura fluxul de execuție adecvat. În absența argumentului specificat, malware-ul se va termina, oprindu-și operațiunile. Această verificare de rutină servește la menținerea comportamentului ascuns al malware-ului și identifică dacă funcționează într-un mediu analitic, cum ar fi un sandbox. Dacă argumentul indică faptul că rulează într-un sandbox, malware-ul va continua fără argument, dar în cele din urmă se va auto-termina.

Ulterior, malware-ul trece la amprenta mașinii infectate prin colectarea de informații precum numele mașinii și numele de utilizator. Această amprentă este apoi transmisă serverului C&C sub formă de conținut în cadrul unei solicitări HTTP.