Menorah Malware

Опытные специалисты по киберпреступности, связанные с Ираном, отслеживаемые под псевдонимом OilRig, проводят целенаправленную фишинговую операцию, в ходе которой используется новый вариант угрожающего программного обеспечения, известного как Menorah. Эта конкретная вредоносная программа была создана явно с целью кибершпионажа. Он может похвастаться возможностью определять характеристики взломанного компьютера, получать доступ к файлам из указанной системы и передавать их, а также загружать дополнительные файлы или вредоносное ПО.

Точная демографическая численность жертв на данный момент остается неопределенной. Тем не менее, наличие обманной тактики убедительно свидетельствует о том, что по крайней мере одна из основных целей исходит от организации, расположенной в пределах границ Саудовской Аравии.

Вредоносное ПО Menorah доставляется через Lure Documents

Фишинговая атака OilRig привела к развертыванию обновленного варианта вредоносного ПО SideTwist, что подразумевает постоянные усилия по его разработке. В самой последней серии заражений использовался документ-приманка для создания запланированной задачи для долгосрочного сохранения и одновременного удаления исполняемого файла с именем «Menorah.exe». Этот исполняемый файл, в свою очередь, устанавливает связь с удаленным сервером, ожидая дальнейших директив. Стоит отметить, что сервер управления в настоящее время неактивен.

OilRig, также известная под такими псевдонимами, как APT34 , Cobalt Gypsy, Hazel Sandstorm и Helix Kitten, выступает в качестве иранской организации по расширенной постоянной угрозе (APT), специализирующейся на тайных усилиях по сбору разведывательных данных, тщательному проникновению и обеспечению доступа в определенных сетях.

Важные подробности о вредоносном ПО Menorah показывают его сходство с другим вредоносным ПО

Вредоносное ПО, написанное на .NET и доставляемое посредством угрожающего документа, в первую очередь служит целям кибершпионажа и может похвастаться широким спектром возможностей. Это небезопасное программное обеспечение способно определять конкретные характеристики целевого компьютера, выводить список каталогов и файлов, выборочно загружать файлы из скомпрометированной системы, выполнять команды оболочки и загружать файлы на скомпрометированную машину.

Проведя тщательный анализ вредоносного ПО SideTwist и Menorah, исследователи обнаружили между ними существенное сходство, особенно с точки зрения функциональности. Эти варианты вредоносного ПО обладают схожими функциями бэкдора для выполнения команд оболочки и облегчения загрузки и скачивания файлов.

Однако, в отличие от более ранней версии SideTwist, эта новая угроза включает в себя дополнительные функции для маскировки трафика, поступающего на сервер управления и контроля (C&C), что повышает его скрытность, чтобы избежать обнаружения. Первоначально вредоносная программа во время выполнения проверяет наличие определенного аргумента, чтобы обеспечить правильный поток выполнения. При отсутствии указанного аргумента вредоносная программа завершится, прекратив свою работу. Эта плановая проверка служит для поддержания скрытого поведения вредоносного ПО и определяет, работает ли оно в аналитической среде, например в «песочнице». Если аргумент указывает, что он работает в «песочнице», вредоносная программа продолжит работу без аргумента, но в конечном итоге самозавершится.

Впоследствии вредоносное ПО продолжает считывать зараженную машину, собирая такую информацию, как имя машины и имя пользователя. Этот отпечаток затем передается на C&C-сервер в виде контента в HTTP-запросе.