Menorah Malware
'OilRig' என்ற மாற்றுப்பெயரின் கீழ் கண்காணிக்கப்படும் ஈரானுடனான உறவுகளைக் கொண்ட மேம்பட்ட சைபர் கிரைம் செயல்பாட்டாளர்கள், மெனோரா எனப்படும் அச்சுறுத்தும் மென்பொருளின் புதிய மாறுபாட்டை வரிசைப்படுத்திய இலக்கு ஈட்டி-ஃபிஷிங் நடவடிக்கையை மேற்கொண்டு வருகின்றனர். இந்த குறிப்பிட்ட தீம்பொருள் இணைய உளவு நோக்கத்திற்காக வடிவமைக்கப்பட்டுள்ளது. இது ஒரு சமரசம் செய்யப்பட்ட கணினியின் விவரக்குறிப்புகளைக் கண்டறியும் திறனைப் பெருமைப்படுத்துகிறது, அந்த அமைப்பிலிருந்து கோப்புகளை அணுகி அனுப்புகிறது மற்றும் கூடுதல் கோப்புகள் அல்லது தீம்பொருளைப் பதிவிறக்குகிறது.
இந்த நேரத்தில் பாதிக்கப்பட்டவர்களின் துல்லியமான மக்கள்தொகை நிச்சயமற்றதாகவே உள்ளது. ஆயினும்கூட, ஏமாற்றும் தந்திரோபாயங்களின் இருப்பு, குறைந்தபட்சம் முதன்மை இலக்குகளில் ஒன்று சவுதி அரேபியாவின் எல்லைக்குள் அமைந்துள்ள ஒரு அமைப்பிலிருந்து வந்ததாக வலுவாகக் கூறுகிறது.
மெனோரா மால்வேர் லூர் ஆவணங்கள் மூலம் டெலிவரி செய்யப்படுகிறது
OilRig ஃபிஷிங் தாக்குதலானது SideTwist மால்வேரின் புதுப்பிக்கப்பட்ட மாறுபாட்டின் வரிசைப்படுத்தலில் விளைகிறது, இது நடந்துகொண்டிருக்கும் வளர்ச்சி முயற்சிகளைக் குறிக்கிறது. நோய்த்தொற்றுகளின் மிக சமீபத்திய வரிசையில், 'Menorah.exe' என்ற பெயரிடப்பட்ட இயங்கக்கூடிய கோப்பை ஒரே நேரத்தில் கைவிடும்போது, நீண்ட கால நிலைப்பாட்டிற்காக திட்டமிடப்பட்ட பணியை உருவாக்க ஒரு தூண்டில் ஆவணம் பயன்படுத்தப்படுகிறது. இந்த இயங்கக்கூடியது, தொலைநிலை சேவையகத்துடன் தொடர்பை ஏற்படுத்துகிறது, மேலும் உத்தரவுகளுக்காக காத்திருக்கிறது. கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகம் தற்போது செயலற்ற நிலையில் உள்ளது என்பது குறிப்பிடத்தக்கது.
APT34 , கோபால்ட் ஜிப்சி, ஹேசல் சாண்ட்ஸ்டார்ம் மற்றும் ஹெலிக்ஸ் கிட்டன் போன்ற மாற்றுப்பெயர்களாலும் அறியப்படும் OilRig, இரகசிய நுண்ணறிவு-சேகரிப்பு முயற்சிகள், நுணுக்கமாக ஊடுருவும் மற்றும் அணுகும் நெட்வொர்க்கிற்குள் சிறப்பு கவனம் செலுத்தும் ஈரானிய மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் (APT) நிறுவனமாக உள்ளது.
மெனோரா மால்வேர் பற்றிய முக்கிய விவரங்கள் மற்றொரு மால்வேர் அச்சுறுத்தலுடன் அதன் ஒற்றுமையைக் காட்டுகிறது
தீம்பொருள், .NET இல் எழுதப்பட்டு, அச்சுறுத்தும் ஆவணம் வழியாக விநியோகிக்கப்படுகிறது, முதன்மையாக இணைய உளவு நோக்கத்திற்காக உதவுகிறது மற்றும் பரந்த அளவிலான திறன்களைக் கொண்டுள்ளது. இந்த பாதுகாப்பற்ற மென்பொருள் இலக்கு கணினியின் குறிப்பிட்ட பண்புகளை அடையாளம் காணும் திறன் கொண்டது, கோப்பகங்கள் மற்றும் கோப்புகளை பட்டியலிடுகிறது, சமரசம் செய்யப்பட்ட கணினியிலிருந்து கோப்புகளைத் தேர்ந்தெடுத்து பதிவேற்றுகிறது, ஷெல் கட்டளைகளை செயல்படுத்துகிறது மற்றும் சமரசம் செய்யப்பட்ட கணினியில் கோப்புகளைப் பதிவிறக்குகிறது.
சைட் ட்விஸ்ட் மால்வேரை மெனோராவுடன் ஒப்பிட்டு ஒரு முழுமையான பகுப்பாய்வை மேற்கொண்டதில், ஆராய்ச்சியாளர்கள் இரண்டிற்கும் இடையே கணிசமான ஒற்றுமைகள் இருப்பதைக் கண்டறிந்துள்ளனர், குறிப்பாக செயல்பாட்டின் அடிப்படையில். இந்த மால்வேர் மாறுபாடுகள் ஷெல் கட்டளைகளை செயல்படுத்துவதற்கும் கோப்பு பதிவேற்றங்கள் மற்றும் பதிவிறக்கங்களை எளிதாக்குவதற்கும் இதேபோன்ற பின்கதவு செயல்பாடுகளை வெளிப்படுத்துகின்றன.
இருப்பினும், SideTwist இன் முந்தைய பதிப்பிற்கு மாறாக, இந்த புதிய அச்சுறுத்தல் கட்டளை மற்றும் கட்டுப்பாடு (C&C) சேவையகத்திற்கான போக்குவரத்தை மழுங்கடிக்க கூடுதல் அம்சங்களை உள்ளடக்கியது, கண்டறிதலைத் தவிர்க்க அதன் திருட்டுத்தனத்தை அதிகரிக்கிறது. தொடக்கத்தில், தீம்பொருள் செயல்பாட்டின் போது ஒரு குறிப்பிட்ட வாதத்தை சரிபார்த்து சரியான செயல்படுத்தல் ஓட்டத்தை உறுதி செய்கிறது. குறிப்பிடப்பட்ட வாதம் இல்லாத நிலையில், தீம்பொருள் அதன் செயல்பாடுகளை நிறுத்தி, நிறுத்தப்படும். இந்த வழக்கமான சரிபார்ப்பு தீம்பொருளின் இரகசிய நடத்தையை பராமரிக்க உதவுகிறது மற்றும் அது சாண்ட்பாக்ஸ் போன்ற பகுப்பாய்வு சூழலில் செயல்படுகிறதா என்பதைக் கண்டறியும். வாதமானது சாண்ட்பாக்ஸில் இயங்குவதாகக் காட்டினால், மால்வேர் வாதம் இல்லாமல் தொடரும் ஆனால் இறுதியில் சுயமாக நிறுத்தப்படும்.
பின்னர், தீம்பொருள் இயந்திரத்தின் பெயர் மற்றும் பயனர் பெயர் போன்ற தகவல்களைச் சேகரிப்பதன் மூலம் பாதிக்கப்பட்ட இயந்திரத்தின் கைரேகையைத் தொடர்கிறது. இந்த கைரேகையானது, HTTP கோரிக்கையில் உள்ள உள்ளடக்க வடிவில் C&C சேவையகத்திற்கு அனுப்பப்படும்.
