Menorah Malware

与伊朗有联系的高级网络犯罪分子以“OilRig”的别名进行追踪，他们一直在开展有针对性的鱼叉式网络钓鱼行动，部署名为 Menorah 的威胁软件的新变种。这种特殊的恶意软件是为了网络间谍活动的明确目的而设计的。它拥有确定受感染计算机的规格、从所述系统访问和传输文件以及下载其他文件或恶意软件的能力。

目前，受害者的确切人口统计仍不确定。然而，欺骗手段的存在强烈表明，至少一个主要目标来自位于沙特阿拉伯境内的一个组织。

Menorah 恶意软件通过诱饵文件传递

OilRig 网络钓鱼攻击导致 SideTwist 恶意软件的更新变种的部署，这意味着持续的开发工作。在最近的感染序列中，诱饵文档被用来创建长期持久性的计划任务，同时删除名为“Menorah.exe”的可执行文件。该可执行文件反过来与远程服务器建立通信，等待进一步的指令。值得注意的是，命令和控制服务器目前处于非活动状态。

OilRig 也被称为APT34 、Cobalt Gypsy、Hazel Sandstorm 和 Helix Kitten 等别名，是伊朗高级持续威胁 (APT) 实体，专门从事秘密情报收集工作，精心渗透并维持指定网络内的访问。

有关 Menorah 恶意软件的重要细节显示其与另一种恶意软件威胁的相似之处

该恶意软件以 .NET 编写并通过威胁文档传播，主要用于网络间谍活动，并拥有广泛的功能。这种不安全的软件能够识别目标计算机的具体特征、列出目录和文件、有选择地从受感染的系统上传文件、执行 shell 命令以及将文件下载到受感染的计算机上。

在对 SideTwist 恶意软件与 Menorah 进行彻底分析比较后，研究人员发现两者之间存在很大的相似之处，特别是在功能方面。这些恶意软件变体表现出类似的后门功能，用于执行 shell 命令并促进文件上传和下载。

然而，与早期版本的 SideTwist 相比，这种新威胁包含了额外的功能来混淆命令和控制 (C&C) 服务器的流量，从而增强其隐蔽性以逃避检测。最初，恶意软件在执行期间检查特定参数，以确保正确的执行流程。如果没有指定的参数，恶意软件将终止，停止其操作。此例行检查用于维护恶意软件的隐蔽行为并确定其是否在分析环境（例如沙箱）中运行。如果参数表明它正在沙箱中运行，则恶意软件将在没有参数的情况下继续运行，但最终会自行终止。

随后，恶意软件通过收集计算机名称和用户名等信息来对受感染的计算机进行指纹识别。然后，该指纹以 HTTP 请求中的内容形式传输到 C&C 服务器。