Menorah Malware

Avancerade cyberbrottsoperatörer med anknytning till Iran, spårade under aliaset "OilRig", har genomfört en riktad spjutfiskeoperation som distribuerar en ny variant av en hotfull programvara som kallas Menorah. Denna speciella skadliga programvara har skapats för det explicita syftet med cyberspionage. Den har förmågan att ta reda på specifikationerna för en komprometterad dator, komma åt och överföra filer från nämnda system och ladda ner ytterligare filer eller skadlig programvara.

Den exakta demografin för offren är fortfarande osäker vid denna tidpunkt. Icke desto mindre tyder förekomsten av vilseledande taktik starkt på att åtminstone ett av de primära målen kommer från en organisation belägen inom Saudiarabiens gränser.

Menorah Malware levereras via Lure Documents

OilRig-nätfiskeattacken resulterar i att en uppdaterad variant av SideTwist skadlig programvara distribueras, vilket innebär pågående utvecklingsinsatser. I den senaste sekvensen av infektioner används ett betesdokument för att skapa en schemalagd uppgift för långvarig uthållighet samtidigt som en körbar fil med namnet "Menorah.exe" släpps. Denna körbara, i sin tur, etablerar kommunikation med en fjärrserver, i väntan på ytterligare direktiv. Det är värt att notera att kommando-och-kontrollservern för närvarande är inaktiv.

OilRig är också känt under alias som APT34 , Cobalt Gypsy, Hazel Sandstorm och Helix Kitten och står som en iransk Advanced Persistent Threat (APT)-enhet med ett specialiserat fokus på hemlig underrättelseinsamling, noggrant infiltrering och upprätthållande av åtkomst inom utsedda nätverk.

Viktig information om Menorah Malware visar dess likheter med ett annat hot om skadlig programvara

Skadlig programvara, skriven i .NET och levererad via det hotfulla dokumentet, tjänar främst syftet med cyberspionage och har ett brett utbud av möjligheter. Denna osäkra programvara kan identifiera de specifika egenskaperna hos den riktade datorn, lista kataloger och filer, selektivt ladda upp filer från det komprometterade systemet, utföra skalkommandon och ladda ner filer till den komprometterade maskinen.

Efter att ha genomfört en noggrann analys som jämförde SideTwist malware med Menorah, har forskare urskiljt betydande likheter mellan de två, särskilt när det gäller funktionalitet. Dessa malware-varianter uppvisar liknande bakdörrsfunktioner för att utföra skalkommandon och underlätta upp- och nedladdningar av filer.

Men i motsats till den tidigare versionen av SideTwist, innehåller detta nya hot ytterligare funktioner för att fördunkla trafiken till kommando- och kontrollservern (C&C), vilket förbättrar dess smyghet för att undvika upptäckt. Inledningsvis söker den skadliga programvaran efter ett specifikt argument under körningen för att säkerställa korrekt körningsflöde. I avsaknad av det angivna argumentet kommer skadlig programvara att avslutas, vilket stoppar dess verksamhet. Denna rutinkontroll tjänar till att upprätthålla skadlig programvaras hemliga beteende och identifierar om den fungerar i en analytisk miljö, till exempel en sandlåda. Om argumentet indikerar att det körs i en sandlåda, kommer den skadliga programvaran att fortsätta utan argumentet men till slut avslutas själv.

Därefter fortsätter skadlig programvara att fingeravtrycka den infekterade maskinen genom att samla in information som maskinens namn och användarnamn. Detta fingeravtryck överförs sedan till C&C-servern i form av innehåll inom en HTTP-förfrågan.