Menorah Malware
ఇరాన్తో సంబంధాలు కలిగి ఉన్న అధునాతన సైబర్క్రైమ్ ఆపరేటివ్లు, 'ఆయిల్రిగ్' అనే మారుపేరుతో ట్రాక్ చేయబడి, టార్గెటెడ్ స్పియర్-ఫిషింగ్ ఆపరేషన్ను నిర్వహిస్తున్నారు, ఇది మెనోరా అని పిలువబడే బెదిరింపు సాఫ్ట్వేర్ యొక్క తాజా వేరియంట్ను అమలు చేస్తుంది. ఈ ప్రత్యేక మాల్వేర్ సైబర్ గూఢచర్యం యొక్క స్పష్టమైన ప్రయోజనం కోసం రూపొందించబడింది. ఇది రాజీపడిన కంప్యూటర్ యొక్క స్పెసిఫికేషన్లను నిర్ధారించే సామర్థ్యాన్ని కలిగి ఉంది, పేర్కొన్న సిస్టమ్ నుండి ఫైల్లను యాక్సెస్ చేయడం మరియు ప్రసారం చేయడం మరియు అదనపు ఫైల్లు లేదా మాల్వేర్లను డౌన్లోడ్ చేయడం.
ఈ తరుణంలో బాధితుల యొక్క ఖచ్చితమైన జనాభా అనిశ్చితంగా ఉంది. ఏది ఏమైనప్పటికీ, మోసపూరిత వ్యూహాల ఉనికి సౌదీ అరేబియా సరిహద్దుల్లో ఉన్న సంస్థ నుండి కనీసం ఒక ప్రాథమిక లక్ష్యమైనదని గట్టిగా సూచిస్తుంది.
మెనోరా మాల్వేర్ లూర్ డాక్యుమెంట్స్ ద్వారా డెలివరీ చేయబడింది
OilRig ఫిషింగ్ దాడి ఫలితంగా SideTwist మాల్వేర్ యొక్క అప్డేట్ చేయబడిన వేరియంట్ అమలులో ఉంది, ఇది కొనసాగుతున్న అభివృద్ధి ప్రయత్నాలను సూచిస్తుంది. ఇన్ఫెక్షన్ల యొక్క అత్యంత ఇటీవలి క్రమంలో, 'Menorah.exe' పేరుతో ఎక్జిక్యూటబుల్ ఫైల్ను ఏకకాలంలో వదులుతూ, దీర్ఘకాలికంగా నిలదొక్కుకోవడానికి షెడ్యూల్ చేసిన పనిని రూపొందించడానికి ఒక బైట్ డాక్యుమెంట్ ఉపయోగించబడింది. ఈ ఎక్జిక్యూటబుల్, రిమోట్ సర్వర్తో కమ్యూనికేషన్ను ఏర్పాటు చేస్తుంది, తదుపరి ఆదేశాల కోసం వేచి ఉంది. కమాండ్ అండ్ కంట్రోల్ సర్వర్ ప్రస్తుతం క్రియారహితంగా ఉండటం గమనించదగ్గ విషయం.
APT34 , కోబాల్ట్ జిప్సీ, హాజెల్ సాండ్స్టార్మ్ మరియు హెలిక్స్ కిట్టెన్ వంటి మారుపేర్లతో కూడా పిలుస్తారు, ఆయిల్రిగ్ అనేది ఇరానియన్ అడ్వాన్స్డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) ఎంటిటీగా నిలువెత్తు రహస్య మేధస్సు-సేకరణ ప్రయత్నాలపై ప్రత్యేక దృష్టి సారించింది.
మెనోరా మాల్వేర్ గురించిన ముఖ్యమైన వివరాలు మరొక మాల్వేర్ ముప్పుతో దాని సారూప్యతను చూపుతాయి
మాల్వేర్, .NETలో వ్రాయబడింది మరియు బెదిరింపు పత్రం ద్వారా పంపిణీ చేయబడుతుంది, ప్రధానంగా సైబర్స్పియోనేజ్ యొక్క ప్రయోజనాన్ని అందిస్తుంది మరియు అనేక రకాల సామర్థ్యాలను కలిగి ఉంది. ఈ అసురక్షిత సాఫ్ట్వేర్ లక్ష్య కంప్యూటర్ యొక్క నిర్దిష్ట లక్షణాలను గుర్తించగలదు, డైరెక్టరీలు మరియు ఫైల్లను జాబితా చేస్తుంది, రాజీపడిన సిస్టమ్ నుండి ఫైల్లను ఎంపిక చేసి అప్లోడ్ చేయడం, షెల్ ఆదేశాలను అమలు చేయడం మరియు రాజీపడిన మెషీన్లోకి ఫైల్లను డౌన్లోడ్ చేయడం.
సైడ్ట్విస్ట్ మాల్వేర్ను మెనోరాతో పోల్చి క్షుణ్ణంగా విశ్లేషించిన తర్వాత, పరిశోధకులు రెండింటి మధ్య ముఖ్యంగా కార్యాచరణ పరంగా గణనీయమైన పోలికలను గుర్తించారు. షెల్ ఆదేశాలను అమలు చేయడానికి మరియు ఫైల్ అప్లోడ్లు మరియు డౌన్లోడ్లను సులభతరం చేయడానికి ఈ మాల్వేర్ వేరియంట్లు ఇలాంటి బ్యాక్డోర్ కార్యాచరణలను ప్రదర్శిస్తాయి.
అయినప్పటికీ, SideTwist యొక్క మునుపటి సంస్కరణకు భిన్నంగా, ఈ కొత్త ముప్పు కమాండ్ అండ్ కంట్రోల్ (C&C) సర్వర్కు ట్రాఫిక్ను అస్పష్టం చేయడానికి అదనపు ఫీచర్లను కలిగి ఉంది, గుర్తింపును తప్పించుకోవడానికి దాని స్టెల్తీనెస్ను పెంచుతుంది. ప్రారంభంలో, మాల్వేర్ సరైన అమలు ప్రవాహాన్ని నిర్ధారించడానికి అమలు సమయంలో నిర్దిష్ట వాదన కోసం తనిఖీ చేస్తుంది. పేర్కొన్న వాదన లేనప్పుడు, మాల్వేర్ దాని కార్యకలాపాలను నిలిపివేస్తుంది. ఈ సాధారణ తనిఖీ మాల్వేర్ యొక్క రహస్య ప్రవర్తనను నిర్వహించడానికి మరియు శాండ్బాక్స్ వంటి విశ్లేషణాత్మక వాతావరణంలో పనిచేస్తుందో లేదో గుర్తిస్తుంది. ఇది శాండ్బాక్స్లో నడుస్తోందని ఆర్గ్యుమెంట్ సూచిస్తే, మాల్వేర్ ఆర్గ్యుమెంట్ లేకుండానే కొనసాగుతుంది కానీ చివరికి స్వీయ-ముగిసిపోతుంది.
తదనంతరం, మాల్వేర్ మెషీన్ పేరు మరియు వినియోగదారు పేరు వంటి సమాచారాన్ని సేకరించడం ద్వారా సోకిన యంత్రాన్ని వేలిముద్ర వేయడానికి కొనసాగుతుంది. ఈ వేలిముద్ర HTTP అభ్యర్థనలో కంటెంట్ రూపంలో C&C సర్వర్కు బదిలీ చేయబడుతుంది.