Menorah Malware

Напредни оперативци за сајбер криминал са везама са Ираном, праћени под псеудонимом 'ОилРиг', спроводе циљану операцију крађе идентитета која примењује нову варијанту претећег софтвера познатог као Менорах. Овај конкретан малвер је направљен за експлицитну сврху сајбер шпијунаже. Може да се похвали способношћу да утврди спецификације компромитованог рачунара, приступи и пренесе датотеке са наведеног система и преузме додатне датотеке или малвер.

Прецизна демографија жртава остаје неизвесна у овом тренутку. Ипак, присуство обмањујућих тактика снажно сугерише да бар једна од примарних мета потиче из организације која се налази унутар граница Саудијске Арабије.

Менорах злонамерни софтвер се испоручује преко Луре докумената

ОилРиг пхисхинг напад резултира применом ажуриране варијанте малвера СидеТвист, што подразумева сталне развојне напоре. У најновијем низу инфекција, користи се документ мамаца за креирање заказаног задатка за дуготрајну истрајност док се истовремено испушта извршна датотека под називом „Менорах.еке“. Овај извршни фајл, заузврат, успоставља комуникацију са удаљеним сервером, чекајући даље директиве. Вреди напоменути да је сервер за команду и контролу тренутно неактиван.

Такође познат под псеудонимима као што су АПТ34 , Цобалт Гипси, Хазел Сандсторм и Хелик Киттен, ОилРиг представља ирански ентитет напредне трајне претње (АПТ) са специјализованим фокусом на тајне подухвате прикупљања обавештајних података, педантно инфилтрирање у пројектовану мрежу и сузбијање приступа.

Важни детаљи о злонамерном софтверу Менорах показују његове сличности са другом претњом од злонамерног софтвера

Малвер, написан у .НЕТ-у и испоручен преко претећег документа, првенствено служи у сврху сајбер шпијунаже и може се похвалити широким спектром могућности. Овај несигурни софтвер је способан да идентификује специфичне карактеристике циљаног рачунара, наведе директоријуме и датотеке, селективно учитава датотеке са компромитованог система, извршава команде љуске и преузима датотеке на компромитовану машину.

Након спровођења темељне анализе упоређујући СидеТвист малвер са Менорахом, истраживачи су уочили значајне сличности између њих, посебно у погледу функционалности. Ове варијанте злонамерног софтвера показују сличне бацкдоор функционалности за извршавање команди љуске и олакшавање отпремања и преузимања датотека.

Међутим, за разлику од раније верзије СидеТвист-а, ова нова претња укључује додатне функције за прикривање саобраћаја ка серверу за команду и контролу (Ц&Ц), побољшавајући његову прикривеност да би избегао откривање. У почетку, злонамерни софтвер проверава одређени аргумент током извршавања да би обезбедио правилан ток извршења. У недостатку наведеног аргумента, малвер ће се прекинути, заустављајући своје операције. Ова рутинска провера служи за одржавање прикривеног понашања малвера и идентификује да ли он ради у аналитичком окружењу, као што је сандбок. Ако аргумент указује на то да се покреће унутар сандбок-а, малвер ће наставити без аргумента, али ће се на крају сам укинути.

Након тога, злонамерни софтвер наставља са отиском прста са заражене машине прикупљањем информација као што су име машине и корисничко име. Овај отисак прста се затим преноси на Ц&Ц сервер у облику садржаја унутар ХТТП захтева.