Menorah Malware

Napredni operativci kibernetske kriminalitete s povezavami v Iranu, zasledovani pod vzdevkom 'OilRig', izvajajo ciljno usmerjeno operacijo lažnega predstavljanja, ki uporablja novo različico nevarne programske opreme, znane kot Menorah. Ta posebna zlonamerna programska oprema je bila ustvarjena z izrecnim namenom kibernetskega vohunjenja. Ponaša se z zmožnostjo ugotavljanja specifikacij ogroženega računalnika, dostopa in prenosa datotek iz omenjenega sistema ter prenosa dodatnih datotek ali zlonamerne programske opreme.

Natančna demografija žrtev v tem trenutku ostaja negotova. Kljub temu prisotnost zavajajočih taktik močno nakazuje, da vsaj ena od primarnih tarč izvira iz organizacije, ki se nahaja znotraj meja Savdske Arabije.

Zlonamerna programska oprema Menorah je dostavljena prek dokumentov Lure

Lažni napad OilRig ima za posledico uvedbo posodobljene različice zlonamerne programske opreme SideTwist, kar pomeni stalna razvojna prizadevanja. V najnovejšem zaporedju okužb se dokument z vabo uporabi za ustvarjanje načrtovane naloge za dolgotrajno obstojnost, hkrati pa se izbriše izvedljiva datoteka z imenom 'Menorah.exe'. Ta izvršljiva datoteka nato vzpostavi komunikacijo z oddaljenim strežnikom in čaka na nadaljnje direktive. Omeniti velja, da je strežnik za ukaze in nadzor trenutno neaktiven.

OilRig, poznan tudi pod vzdevki, kot so APT34 , Cobalt Gypsy, Hazel Sandstorm in Helix Kitten, je iranska entiteta za napredno vztrajno grožnjo (APT) s posebnim poudarkom na skrivnih prizadevanjih za zbiranje obveščevalnih podatkov, natančnim infiltriranjem in vzdrževanjem dostopa znotraj določenih omrežij.

Pomembne podrobnosti o zlonamerni programski opremi Menorah kažejo njene podobnosti z drugo grožnjo zlonamerne programske opreme

Zlonamerna programska oprema, napisana v .NET in dostavljena prek grozilnega dokumenta, služi predvsem namenu kibernetskega vohunjenja in se ponaša s široko paleto zmogljivosti. Ta nevarna programska oprema je zmožna identificirati posebne značilnosti ciljnega računalnika, izpisati imenike in datoteke, selektivno naložiti datoteke iz ogroženega sistema, izvesti ukaze lupine in naložiti datoteke na ogroženi stroj.

Po temeljiti analizi, v kateri so primerjali zlonamerno programsko opremo SideTwist in Menorah, so raziskovalci opazili precejšnje podobnosti med obema, zlasti v smislu funkcionalnosti. Te različice zlonamerne programske opreme kažejo podobne funkcionalnosti zakulisnih vrat za izvajanje ukazov lupine in omogočanje nalaganja in prenosa datotek.

Vendar pa v nasprotju s prejšnjo različico SideTwist ta nova grožnja vključuje dodatne funkcije za zameglitev prometa do strežnika za ukaze in nadzor (C&C), s čimer izboljša njegovo prikritost, da se izogne zaznavanju. Na začetku zlonamerna programska oprema med izvajanjem preveri določen argument, da zagotovi ustrezen potek izvajanja. Če navedenega argumenta ni, bo zlonamerna programska oprema prenehala delovati in ustavila svoje delovanje. To rutinsko preverjanje služi ohranjanju prikritega vedenja zlonamerne programske opreme in ugotavlja, ali deluje v analitičnem okolju, kot je peskovnik. Če argument nakazuje, da se izvaja v peskovniku, bo zlonamerna programska oprema nadaljevala brez argumenta, vendar se bo na koncu samoukinila.

Nato zlonamerna programska oprema nadaljuje s prstnim odtisom okuženega računalnika z zbiranjem informacij, kot sta ime stroja in uporabniško ime. Ta prstni odtis se nato prenese na C&C strežnik v obliki vsebine znotraj zahteve HTTP.