Malware Menorah

Operativët e avancuar të krimit kibernetik me lidhje me Iranin, të gjurmuar nën pseudonimin 'OilRig', kanë kryer një operacion të synuar të phishing-it që përdor një variant të ri të një softueri kërcënues të njohur si Menorah. Ky malware i veçantë është krijuar për qëllime të qarta të spiunazhit kibernetik. Ai krenohet me aftësinë për të përcaktuar specifikat e një kompjuteri të komprometuar, për të hyrë dhe transmetuar skedarë nga sistemi në fjalë dhe për të shkarkuar skedarë shtesë ose malware.

Demografia e saktë e viktimave mbetet e paqartë në këtë moment. Megjithatë, prania e taktikave mashtruese sugjeron fuqimisht se të paktën një nga objektivat kryesore vjen nga një organizatë e vendosur brenda kufijve të Arabisë Saudite.

Malware Menorah shpërndahet përmes dokumenteve të joshjes

Sulmi i phishing OilRig rezulton në vendosjen e një varianti të përditësuar të malware SideTwist, duke nënkuptuar përpjekje të vazhdueshme zhvillimi. Në sekuencën më të fundit të infeksioneve, një dokument karremi përdoret për të krijuar një detyrë të planifikuar për këmbëngulje afatgjatë, ndërkohë që hedh një skedar të ekzekutueshëm të quajtur 'Menorah.exe'. Ky ekzekutues, nga ana tjetër, vendos komunikim me një server në distancë, në pritje të direktivave të mëtejshme. Vlen të përmendet se serveri i komandës dhe kontrollit është aktualisht joaktiv.

I njohur gjithashtu nga pseudonime të tilla si APT34 , Cobalt Gypsy, Hazel Sandstorm dhe Helix Kitten, OilRig qëndron si një entitet i Kërcënimit të Përparuar iranian (APT) me fokus të specializuar në përpjekjet klandestine për mbledhjen e inteligjencës, në mënyrë të përpiktë brenda rrjeteve të infiltruar dhe të qëndrueshme.

Detaje të rëndësishme rreth Malware Menorah tregojnë ngjashmëritë e tij me një kërcënim tjetër malware

Malware, i shkruar në .NET dhe i dorëzuar nëpërmjet dokumentit kërcënues, i shërben kryesisht qëllimit të spiunazhit kibernetik dhe krenohet me një gamë të gjerë aftësish. Ky softuer i pasigurt është i aftë të identifikojë karakteristikat specifike të kompjuterit të synuar, të listojë drejtoritë dhe skedarët, të ngarkojë në mënyrë selektive skedarë nga sistemi i komprometuar, të ekzekutojë komandat e guaskës dhe të shkarkojë skedarë në makinën e komprometuar.

Pas kryerjes së një analize të plotë duke krahasuar malware SideTwist me Menorah, studiuesit kanë dalluar ngjashmëri të konsiderueshme midis të dyve, veçanërisht për sa i përket funksionalitetit. Këto variante malware shfaqin funksionalitete të ngjashme të backdoor për ekzekutimin e komandave të guaskës dhe lehtësimin e ngarkimeve dhe shkarkimeve të skedarëve.

Megjithatë, ndryshe nga versioni i mëparshëm i SideTwist, ky kërcënim i ri përfshin veçori shtesë për të errësuar trafikun në serverin e komandës dhe kontrollit (C&C), duke rritur fshehtësinë e tij për të shmangur zbulimin. Fillimisht, malware kontrollon për një argument specifik gjatë ekzekutimit për të siguruar rrjedhën e duhur të ekzekutimit. Në mungesë të argumentit të specifikuar, malware do të përfundojë, duke ndaluar operacionet e tij. Ky kontroll rutinë shërben për të ruajtur sjelljen e fshehtë të malware dhe identifikon nëse ai funksionon brenda një mjedisi analitik, siç është një sandbox. Nëse argumenti tregon se po funksionon brenda një sandbox, malware do të vazhdojë pa argument, por përfundimisht do të përfundojë vetë.

Më pas, malware vazhdon të marrë gjurmët e gishtërinjve në makinën e infektuar duke mbledhur informacione të tilla si emri i makinës dhe emri i përdoruesit. Kjo gjurmë gishti më pas transmetohet te serveri C&C në formën e përmbajtjes brenda një kërkese HTTP.