Menorah Malware

Просунуті кіберзлочинці зі зв’язками з Іраном, яких відслідковують під псевдонімом «OilRig», проводять цілеспрямовану операцію з фішингу, яка розгортає новий варіант загрозливого програмного забезпечення, відомого як Menorah. Це зловмисне програмне забезпечення було створено з явною метою кібершпигунства. Він може похвалитися можливістю з’ясувати характеристики скомпрометованого комп’ютера, отримувати доступ і передавати файли з цієї системи та завантажувати додаткові файли чи зловмисне програмне забезпечення.

На даний момент точна демографічна інформація про жертв залишається невизначеною. Тим не менш, наявність оманливої тактики переконливо свідчить про те, що принаймні одна з основних цілей походить від організації, розташованої в межах кордонів Саудівської Аравії.

Зловмисне програмне забезпечення Menorah доставляється через документи Lure

Фішингова атака OilRig призвела до розгортання оновленого варіанту зловмисного програмного забезпечення SideTwist, що передбачає постійні зусилля щодо розробки. В останній послідовності заражень документ-приманка використовується для створення запланованого завдання для тривалого збереження з одночасним видаленням виконуваного файлу під назвою «Menorah.exe». Цей виконуваний файл, у свою чергу, встановлює зв’язок із віддаленим сервером, очікуючи подальших вказівок. Варто зазначити, що командно-контрольний сервер наразі неактивний.

Також відома під такими псевдонімами, як APT34 , Cobalt Gypsy, Hazel Sandstorm і Helix Kitten, OilRig виступає як іранська організація Advanced Persistent Threat (APT), яка спеціалізується на підпільному зборі розвідданих, ретельному проникненні та підтримці доступу до визначених мереж.

Важливі подробиці про зловмисне програмне забезпечення Menorah показують його схожість з іншим шкідливим програмним забезпеченням

Зловмисне програмне забезпечення, написане в .NET і доставлене через загрозливий документ, в першу чергу служить цілям кібершпигунства та має широкий спектр можливостей. Це небезпечне програмне забезпечення здатне визначати конкретні характеристики цільового комп’ютера, перераховувати каталоги та файли, вибірково завантажувати файли з скомпрометованої системи, виконувати команди оболонки та завантажувати файли на скомпрометовану машину.

Провівши ретельний аналіз, порівнюючи зловмисне програмне забезпечення SideTwist і Menorah, дослідники помітили суттєву схожість між ними, зокрема щодо функціональності. Ці варіанти зловмисного програмного забезпечення демонструють подібні функції бекдорів для виконання команд оболонки та сприяння завантаженню та завантаженню файлів.

Однак, на відміну від попередньої версії SideTwist, ця нова загроза включає додаткові функції для обфускації трафіку до сервера керування та управління (C&C), підвищуючи його прихованість, щоб уникнути виявлення. Спочатку зловмисне програмне забезпечення перевіряє певний аргумент під час виконання, щоб забезпечити належний потік виконання. За відсутності вказаного аргументу зловмисне програмне забезпечення припинить роботу, припиняючи свою роботу. Ця регулярна перевірка служить для підтримки прихованої поведінки зловмисного програмного забезпечення та визначає, чи працює воно в аналітичному середовищі, такому як пісочниця. Якщо аргумент вказує на те, що він працює в пісочниці, зловмисне програмне забезпечення продовжить роботу без аргументу, але зрештою самозакриється.

Згодом зловмисне програмне забезпечення починає знімати відбитки пальців зараженої машини, збираючи таку інформацію, як ім’я машини та ім’я користувача. Потім цей відбиток пальця передається на сервер C&C у вигляді вмісту в HTTP-запиті.