Menorah Malware

หน่วยปฏิบัติการอาชญากรรมทางไซเบอร์ขั้นสูงที่มีความเกี่ยวข้องกับอิหร่าน ซึ่งติดตามภายใต้นามแฝงว่า 'OilRig' ได้ดำเนินการปฏิบัติการฟิชชิ่งแบบพุ่งเป้าแบบกำหนดเป้าหมาย ซึ่งใช้ซอฟต์แวร์คุกคามรูปแบบใหม่ที่เรียกว่า Menorah มัลแวร์เฉพาะนี้ถูกสร้างขึ้นเพื่อวัตถุประสงค์ที่ชัดเจนในการจารกรรมทางไซเบอร์ มีความสามารถในการตรวจสอบข้อมูลจำเพาะของคอมพิวเตอร์ที่ถูกบุกรุก เข้าถึงและส่งไฟล์จากระบบดังกล่าว และดาวน์โหลดไฟล์หรือมัลแวร์เพิ่มเติม

ข้อมูลประชากรที่ชัดเจนของเหยื่อยังคงไม่แน่นอนในช่วงหัวเลี้ยวหัวต่อนี้ อย่างไรก็ตาม การมีกลวิธีหลอกลวงแสดงให้เห็นอย่างชัดเจนว่าเป้าหมายหลักอย่างน้อยหนึ่งเป้าหมายมาจากองค์กรที่ตั้งอยู่ในเขตแดนของซาอุดีอาระเบีย

มัลแวร์ Menorah ถูกส่งผ่านเอกสารล่อ

การโจมตีแบบฟิชชิ่ง OilRig ส่งผลให้มีการใช้มัลแวร์ SideTwist เวอร์ชันอัปเดต ซึ่งบ่งบอกถึงความพยายามในการพัฒนาอย่างต่อเนื่อง ในลำดับการติดเชื้อล่าสุด เอกสารเหยื่อถูกนำมาใช้เพื่อสร้างงานตามกำหนดเวลาสำหรับการคงอยู่ในระยะยาว ในขณะเดียวกันก็ปล่อยไฟล์ปฏิบัติการชื่อ 'Menorah.exe' ไปพร้อมๆ กัน การดำเนินการนี้จะสร้างการสื่อสารกับเซิร์ฟเวอร์ระยะไกลโดยรอคำสั่งเพิ่มเติม เป็นที่น่าสังเกตว่าขณะนี้เซิร์ฟเวอร์คำสั่งและการควบคุมไม่ได้ใช้งานอยู่

OilRig มีชื่อเรียกอีกชื่อหนึ่งว่า APT34 , Cobalt Gypsy, Hazel Sandstorm และ Helix Kitten โดยย่อมาจาก Advanced Persistent Threat (APT) ของอิหร่าน โดยมุ่งเน้นเฉพาะด้านความพยายามในการรวบรวมข้อมูลลับ การแทรกซึมอย่างพิถีพิถัน และการเข้าถึงอย่างยั่งยืนภายในเครือข่ายที่กำหนด

รายละเอียดที่สำคัญเกี่ยวกับมัลแวร์ Menorah แสดงความคล้ายคลึงกับภัยคุกคามมัลแวร์อื่น

มัลแวร์ที่เขียนด้วย .NET และส่งผ่านเอกสารคุกคาม มีจุดประสงค์หลักในการจารกรรมทางไซเบอร์และมีความสามารถที่หลากหลาย ซอฟต์แวร์ที่ไม่ปลอดภัยนี้สามารถระบุลักษณะเฉพาะของคอมพิวเตอร์เป้าหมาย แสดงรายการไดเร็กทอรีและไฟล์ เลือกอัปโหลดไฟล์จากระบบที่ถูกบุกรุก รันคำสั่งเชลล์ และการดาวน์โหลดไฟล์ลงในเครื่องที่ถูกบุกรุก

เมื่อทำการวิเคราะห์อย่างละเอียดโดยเปรียบเทียบมัลแวร์ SideTwist กับ Menorah นักวิจัยได้สังเกตเห็นความคล้ายคลึงกันอย่างมากระหว่างทั้งสอง โดยเฉพาะอย่างยิ่งในแง่ของฟังก์ชันการทำงาน มัลแวร์เหล่านี้มีฟังก์ชันแบ็คดอร์ที่คล้ายกันสำหรับการรันคำสั่งเชลล์และอำนวยความสะดวกในการอัพโหลดและดาวน์โหลดไฟล์

อย่างไรก็ตาม ตรงกันข้ามกับ SideTwist เวอร์ชันก่อนหน้า ภัยคุกคามใหม่นี้รวมคุณสมบัติเพิ่มเติมเพื่อทำให้การรับส่งข้อมูลไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม (C&C) สับสน เพิ่มความสามารถในการซ่อนตัวเพื่อหลบเลี่ยงการตรวจจับ ในตอนแรก มัลแวร์จะตรวจสอบอาร์กิวเมนต์เฉพาะระหว่างการดำเนินการเพื่อให้แน่ใจว่ามีขั้นตอนการดำเนินการที่เหมาะสม หากไม่มีข้อโต้แย้งที่ระบุ มัลแวร์จะยุติการทำงานและหยุดการทำงานของมัน การตรวจสอบตามปกตินี้ทำหน้าที่รักษาพฤติกรรมแอบแฝงของมัลแวร์ และระบุว่ามัลแวร์ทำงานในสภาพแวดล้อมเชิงวิเคราะห์ เช่น แซนด์บ็อกซ์หรือไม่ หากอาร์กิวเมนต์ระบุว่ากำลังทำงานอยู่ในแซนด์บ็อกซ์ มัลแวร์จะดำเนินการต่อไปโดยไม่มีอาร์กิวเมนต์ แต่จะหยุดตัวเองในที่สุด

จากนั้น มัลแวร์จะสแกนลายนิ้วมือของเครื่องที่ติดไวรัสโดยการรวบรวมข้อมูล เช่น ชื่อเครื่องและชื่อผู้ใช้ ลายนิ้วมือนี้จะถูกส่งไปยังเซิร์ฟเวอร์ C&C ในรูปแบบของเนื้อหาภายในคำขอ HTTP