Menorah Malware
Ang mga advanced na cybercrime operatives na may kaugnayan sa Iran, na sinusubaybayan sa ilalim ng alyas na 'OilRig,' ay nagsasagawa ng isang target na spear-phishing na operasyon na naglalagay ng bagong variant ng isang nagbabantang software na kilala bilang Menorah. Ang partikular na malware na ito ay ginawa para sa tahasang layunin ng cyber espionage. Ipinagmamalaki nito ang kakayahang matiyak ang mga detalye ng isang nakompromisong computer, mag-access at magpadala ng mga file mula sa nasabing system at mag-download ng mga karagdagang file o malware.
Ang tiyak na demograpiko ng mga biktima ay nananatiling hindi tiyak sa sandaling ito. Gayunpaman, ang pagkakaroon ng mga mapanlinlang na taktika ay mariing nagmumungkahi na kahit isa sa mga pangunahing target ay nagmula sa isang organisasyong nasa loob ng mga hangganan ng Saudi Arabia.
Ang Menorah Malware ay Inihahatid sa pamamagitan ng Mga Dokumento sa Pag-akit
Ang pag-atake ng phishing ng OilRig ay nagreresulta sa pag-deploy ng isang na-update na variant ng SideTwist malware, na nagpapahiwatig ng patuloy na pagsisikap sa pag-unlad. Sa pinakahuling pagkakasunud-sunod ng mga impeksyon, ginagamit ang isang dokumento ng pain upang lumikha ng isang naka-iskedyul na gawain para sa pangmatagalang pagtitiyaga habang sabay-sabay na nag-drop ng isang executable na file na pinangalanang 'Menorah.exe.' Ang executable na ito, sa turn, ay nagtatatag ng komunikasyon sa isang malayong server, naghihintay ng karagdagang mga direktiba. Mahalagang tandaan na ang command-and-control server ay kasalukuyang hindi aktibo.
Kilala rin sa mga alyas gaya ng APT34 , Cobalt Gypsy, Hazel Sandstorm, at Helix Kitten, ang OilRig ay nakatayo bilang isang Iranian Advanced Persistent Threat (APT) entity na may espesyal na pagtutok sa clandestine intelligence-gathering endeavors, meticulously infiltrating at sustaining access sa loob ng mga itinalagang network.
Ang Mahahalagang Detalye tungkol sa Menorah Malware ay Nagpapakita ng Mga Pagkakatulad Nito sa Isa pang Banta sa Malware
Ang malware, na nakasulat sa .NET at inihatid sa pamamagitan ng nagbabantang dokumento, ay pangunahing nagsisilbi sa layunin ng cyberespionage at ipinagmamalaki ang malawak na hanay ng mga kakayahan. Ang hindi ligtas na software na ito ay may kakayahang tukuyin ang mga partikular na katangian ng naka-target na computer, paglilista ng mga direktoryo at file, piling pag-upload ng mga file mula sa nakompromisong system, pagsasagawa ng mga command ng shell, at pag-download ng mga file papunta sa nakompromisong makina.
Sa pagsasagawa ng masusing pagsusuri sa paghahambing ng SideTwist malware sa Menorah, nakita ng mga mananaliksik ang malaking pagkakahawig sa pagitan ng dalawa, lalo na sa mga tuntunin ng functionality. Ang mga variant ng malware na ito ay nagpapakita ng mga katulad na functionality sa backdoor para sa pagpapatupad ng mga shell command at pagpapadali sa pag-upload at pag-download ng file.
Gayunpaman, kabaligtaran sa naunang bersyon ng SideTwist, ang bagong banta na ito ay nagsasama ng mga karagdagang feature upang i-obfuscate ang trapiko sa command and control (C&C) server, na nagpapahusay sa pagiging stealthiness nito upang maiwasan ang pagtuklas. Sa una, sinusuri ng malware ang isang partikular na argumento sa panahon ng pagpapatupad upang matiyak ang wastong daloy ng pagpapatupad. Sa kawalan ng tinukoy na argumento, ang malware ay magwawakas, na ihihinto ang mga operasyon nito. Ang nakagawiang pagsusuri na ito ay nagsisilbi upang mapanatili ang lihim na gawi ng malware at kinikilala kung ito ay gumagana sa loob ng isang analytical na kapaligiran, tulad ng isang sandbox. Kung ang argument ay nagpapahiwatig na ito ay tumatakbo sa loob ng isang sandbox, ang malware ay magpapatuloy nang walang argumento ngunit sa huli ay magwawakas sa sarili.
Kasunod nito, nagpapatuloy ang malware sa fingerprint sa nahawaang makina sa pamamagitan ng pagkolekta ng impormasyon tulad ng pangalan ng makina at username. Ang fingerprint na ito ay ipinapadala sa C&C server sa anyo ng nilalaman sa loob ng isang kahilingan sa HTTP.
