Menorah Malware

Các tổ chức tội phạm mạng tiên tiến có quan hệ với Iran, được theo dõi dưới bí danh 'OilRig', đã thực hiện một hoạt động lừa đảo có chủ đích nhằm triển khai một biến thể mới của phần mềm đe dọa có tên Menorah. Phần mềm độc hại cụ thể này đã được tạo ra cho mục đích rõ ràng là gián điệp mạng. Nó tự hào có khả năng xác định các thông số kỹ thuật của một máy tính bị xâm nhập, truy cập và truyền các tệp từ hệ thống nói trên và tải xuống các tệp hoặc phần mềm độc hại bổ sung.

Nhân khẩu học chính xác của các nạn nhân vẫn chưa chắc chắn vào thời điểm này. Tuy nhiên, sự hiện diện của các chiến thuật lừa đảo cho thấy rõ ràng rằng ít nhất một trong những mục tiêu chính đến từ một tổ chức nằm trong biên giới Ả Rập Saudi.

Phần mềm độc hại Menorah được phân phối qua tài liệu thu hút

Cuộc tấn công lừa đảo OilRig dẫn đến việc triển khai một biến thể cập nhật của phần mềm độc hại SideTwist, ngụ ý những nỗ lực phát triển đang diễn ra. Trong chuỗi lây nhiễm gần đây nhất, một tài liệu mồi nhử được sử dụng để tạo một tác vụ theo lịch trình nhằm duy trì lâu dài đồng thời thả một tệp thực thi có tên 'Menorah.exe.' Đến lượt nó, tệp thực thi này sẽ thiết lập liên lạc với một máy chủ từ xa, chờ chỉ thị tiếp theo. Điều đáng chú ý là máy chủ ra lệnh và kiểm soát hiện không hoạt động.

Còn được biết đến với các bí danh như APT34 , Cobalt Gypsy, Hazel Sandstorm và Helix Kitten, OilRig là một thực thể Mối đe dọa liên tục nâng cao (APT) của Iran với trọng tâm chuyên biệt là nỗ lực thu thập thông tin tình báo bí mật, xâm nhập tỉ mỉ và duy trì quyền truy cập trong các mạng được chỉ định.

Thông tin chi tiết quan trọng về phần mềm độc hại Menorah cho thấy điểm tương đồng của nó với một mối đe dọa phần mềm độc hại khác

Phần mềm độc hại, được viết bằng .NET và được gửi qua tài liệu đe dọa, chủ yếu phục vụ mục đích gián điệp mạng và có nhiều khả năng. Phần mềm không an toàn này có khả năng xác định các đặc điểm cụ thể của máy tính mục tiêu, liệt kê các thư mục và tệp, tải tệp lên có chọn lọc từ hệ thống bị xâm nhập, thực thi lệnh shell và tải tệp xuống máy bị xâm nhập.

Sau khi tiến hành phân tích kỹ lưỡng so sánh phần mềm độc hại SideTwist với Menorah, các nhà nghiên cứu đã nhận thấy sự tương đồng đáng kể giữa hai phần mềm này, đặc biệt là về chức năng. Các biến thể phần mềm độc hại này có chức năng cửa sau tương tự để thực thi các lệnh shell và hỗ trợ tải lên và tải xuống tệp.

Tuy nhiên, trái ngược với phiên bản SideTwist trước đó, mối đe dọa mới này kết hợp các tính năng bổ sung để làm xáo trộn lưu lượng truy cập đến máy chủ chỉ huy và kiểm soát (C&C), tăng cường khả năng tàng hình của nó để tránh bị phát hiện. Ban đầu, phần mềm độc hại kiểm tra một đối số cụ thể trong quá trình thực thi để đảm bảo luồng thực thi phù hợp. Trong trường hợp không có đối số được chỉ định, phần mềm độc hại sẽ chấm dứt, tạm dừng hoạt động của nó. Việc kiểm tra định kỳ này nhằm duy trì hành vi bí mật của phần mềm độc hại và xác định xem nó có hoạt động trong môi trường phân tích hay không, chẳng hạn như hộp cát. Nếu đối số chỉ ra rằng nó đang chạy trong hộp cát, phần mềm độc hại sẽ tiếp tục mà không cần đối số nhưng cuối cùng sẽ tự chấm dứt.

Sau đó, phần mềm độc hại tiến hành lấy dấu vân tay của máy bị nhiễm bằng cách thu thập thông tin như tên máy và tên người dùng. Dấu vân tay này sau đó được truyền đến máy chủ C&C dưới dạng nội dung trong yêu cầu HTTP.