Menorah Malware

Pokročilí agenti počítačovej kriminality s väzbami na Irán, sledovaní pod prezývkou „OilRig“, uskutočňujú cielenú operáciu spear-phishing, ktorá nasadzuje nový variant hrozivého softvéru známeho ako Menorah. Tento konkrétny malvér bol vytvorený na explicitný účel kybernetickej špionáže. Môže sa pochváliť schopnosťou zistiť špecifikácie napadnutého počítača, pristupovať a prenášať súbory z uvedeného systému a sťahovať ďalšie súbory alebo malvér.

Presná demografia obetí zostáva v tejto chvíli neistá. Napriek tomu prítomnosť klamlivej taktiky silne naznačuje, že aspoň jeden z primárnych cieľov pochádza z organizácie, ktorá sa nachádza na hraniciach Saudskej Arábie.

Malvér Menorah je dodávaný prostredníctvom Lure Documents

Phishingový útok OilRig má za následok nasadenie aktualizovaného variantu malvéru SideTwist, čo znamená pokračujúci vývoj. V najnovšom slede infekcií sa dokument s návnadou používa na vytvorenie plánovanej úlohy pre dlhodobé pretrvávanie a súčasne sa ruší spustiteľný súbor s názvom Menorah.exe. Tento spustiteľný súbor zase nadviaže komunikáciu so vzdialeným serverom a čaká na ďalšie pokyny. Stojí za zmienku, že príkazový a riadiaci server je momentálne neaktívny.

OilRig, ktorý je známy aj pod prezývkami ako APT34 , Cobalt Gypsy, Hazel Sandstorm a Helix Kitten, predstavuje iránsku entitu s pokročilou trvalou hrozbou (APT) so špecializovaným zameraním na tajné snahy o zhromažďovanie spravodajských informácií, starostlivú infiltráciu a udržiavanie prístupu v rámci určených sietí.

Dôležité podrobnosti o malvéri Menorah ukazujú jeho podobnosti s inou malvérovou hrozbou

Malvér napísaný v .NET a doručený prostredníctvom hrozivého dokumentu slúži predovšetkým na účely kyberšpionáže a môže sa pochváliť širokou škálou možností. Tento nebezpečný softvér je schopný identifikovať špecifické vlastnosti cieľového počítača, vypísať zoznam adresárov a súborov, selektívne nahrať súbory z napadnutého systému, vykonávať príkazy shellu a sťahovať súbory do napadnutého počítača.

Po vykonaní dôkladnej analýzy porovnávajúcej malvér SideTwist s Menorah výskumníci rozpoznali medzi nimi značné podobnosti, najmä pokiaľ ide o funkčnosť. Tieto varianty škodlivého softvéru vykazujú podobné funkcie backdoor na vykonávanie príkazov shellu a uľahčenie nahrávania a sťahovania súborov.

Na rozdiel od predchádzajúcej verzie SideTwist však táto nová hrozba obsahuje ďalšie funkcie na zatemnenie prevádzky na server velenia a riadenia (C&C), čím sa zvyšuje jej utajenie, aby sa vyhla detekcii. Na začiatku malvér počas vykonávania kontroluje konkrétny argument, aby sa zabezpečil správny priebeh vykonávania. V prípade absencie špecifikovaného argumentu sa malvér ukončí a zastaví svoju činnosť. Táto rutinná kontrola slúži na udržanie skrytého správania malvéru a identifikuje, či funguje v analytickom prostredí, ako je napríklad karanténa. Ak argument naznačuje, že je spustený v karanténe, malvér bude pokračovať bez argumentu, ale nakoniec sa sám ukončí.

Následne malvér pokračuje v snímaní odtlačkov prstov infikovaného počítača zhromažďovaním informácií, ako je názov počítača a používateľské meno. Tento odtlačok sa potom prenáša na server C&C vo forme obsahu v rámci požiadavky HTTP.