Menorah Malware

İran'la bağlantısı olan ve 'OilRig' takma adı altında takip edilen ileri düzey siber suç operatörleri, Menorah olarak bilinen tehditkar bir yazılımın yeni bir versiyonunu kullanan, hedefe yönelik bir hedef odaklı kimlik avı operasyonu yürütüyor. Bu özel kötü amaçlı yazılım, açık bir şekilde siber casusluk amacıyla hazırlanmıştır. Güvenliği ihlal edilmiş bir bilgisayarın özelliklerini belirleme, söz konusu sistemdeki dosyalara erişme ve aktarma ve ek dosyalar veya kötü amaçlı yazılım indirme becerisine sahiptir.

Kurbanların kesin demografisi şu aşamada belirsizliğini koruyor. Ancak yanıltıcı taktiklerin varlığı, öncelikli hedeflerden en az birinin Suudi Arabistan sınırları içinde yer alan bir örgütten geldiğini kuvvetle akla getiriyor.

Menorah Kötü Amaçlı Yazılımı Lure Belgeleri Aracılığıyla Sunulur

OilRig kimlik avı saldırısı, SideTwist kötü amaçlı yazılımının güncellenmiş bir versiyonunun konuşlandırılmasıyla sonuçlanır ve bu da geliştirme çabalarının devam ettiğini gösterir. En son enfeksiyon dizisinde, uzun vadeli kalıcılık için zamanlanmış bir görev oluşturmak ve aynı zamanda 'Menorah.exe' adlı yürütülebilir dosyayı bırakmak için bir yem belgesi kullanılıyor. Bu yürütülebilir dosya, daha sonraki talimatları bekleyerek uzak bir sunucuyla iletişim kurar. Komuta ve kontrol sunucusunun şu anda aktif olmadığını belirtmekte fayda var.

APT34 , Cobalt Gypsy, Hazel Sandstorm ve Helix Kitten gibi takma adlarla da bilinen OilRig, gizli istihbarat toplama çabalarına odaklanan, belirlenen ağlara titizlikle sızan ve erişimi sürdüren bir İran Gelişmiş Kalıcı Tehdit (APT) kuruluşu olarak duruyor.

Menorah Kötü Amaçlı Yazılımıyla İlgili Önemli Detaylar Başka Bir Kötü Amaçlı Yazılım Tehdidiyle Benzerliğini Gösteriyor

.NET'te yazılan ve tehdit edici belge aracılığıyla gönderilen kötü amaçlı yazılım, öncelikle siber casusluk amacına hizmet ediyor ve çok çeşitli yeteneklere sahip. Bu güvenli olmayan yazılım, hedeflenen bilgisayarın belirli özelliklerini tanımlayabilir, dizinleri ve dosyaları listeleyebilir, ele geçirilen sistemden dosyaları seçerek yükleyebilir, kabuk komutlarını yürütebilir ve dosyaları tehlikeye atılan makineye indirebilir.

SideTwist kötü amaçlı yazılımını Menorah ile karşılaştıran kapsamlı bir analiz gerçekleştiren araştırmacılar, özellikle işlevsellik açısından ikisi arasında önemli benzerlikler olduğunu fark etti. Bu kötü amaçlı yazılım çeşitleri, kabuk komutlarını yürütmek ve dosya yükleme ve indirmelerini kolaylaştırmak için benzer arka kapı işlevleri sergiliyor.

Bununla birlikte, SideTwist'in önceki sürümünün aksine, bu yeni tehdit, komuta ve kontrol (C&C) sunucusuna giden trafiği gizleyen ve tespit edilmekten kaçınmak için gizliliğini artıran ek özellikler içeriyor. Başlangıçta, kötü amaçlı yazılım, yürütme akışının doğru olduğundan emin olmak için yürütme sırasında belirli bir argümanı kontrol eder. Belirtilen argümanın yokluğunda, kötü amaçlı yazılım sona erecek ve faaliyetlerini durduracaktır. Bu rutin kontrol, kötü amaçlı yazılımın gizli davranışını korumaya yarar ve korumalı alan gibi analitik bir ortamda çalışıp çalışmadığını belirler. Eğer argüman bir sanal alan içerisinde çalıştığını gösteriyorsa, kötü amaçlı yazılım argüman olmadan ilerleyecek ancak sonuçta kendi kendini sonlandıracaktır.

Daha sonra kötü amaçlı yazılım, makine adı ve kullanıcı adı gibi bilgileri toplayarak virüslü makinenin parmak izini almaya devam eder. Bu parmak izi daha sonra bir HTTP isteği içindeki içerik biçiminde C&C sunucusuna iletilir.