Menorah Malware

與伊朗有聯繫的高級網路犯罪分子以「OilRig」的別名進行追踪，他們一直在開展有針對性的魚叉式網路釣魚行動，部署一種名為 Menorah 的威脅軟體的新變種。這種特殊的惡意軟體是為了網路間諜活動的明確目的而設計的。它擁有確定受感染電腦的規格、從所述系統存取和傳輸檔案以及下載其他檔案或惡意軟體的能力。

目前，受害者的確切人口統計仍不確定。然而，欺騙手段的存在強烈表明，至少有一個主要目標來自位於沙烏地阿拉伯境內的一個組織。

Menorah 惡意軟體透過誘餌檔案傳遞

OilRig 網路釣魚攻擊導致 SideTwist 惡意軟體的更新變種的部署，這意味著持續的開發工作。在最近的感染序列中，誘餌文件被用來創建長期持久性的計劃任務，同時刪除名為「Menorah.exe」的可執行檔。這個可執行檔反過來與遠端伺服器建立通信，等待進一步的指令。值得注意的是，命令和控制伺服器目前處於非活動狀態。

OilRig 也被稱為APT34 、Cobalt Gypsy、Hazel Sandstorm 和 Helix Kitten 等別名，是伊朗高級持續威脅 (APT) 實體，專門從事秘密情報收集工作，精心滲透並維持指定網絡內的訪問。

有關 Menorah 惡意軟體的重要細節顯示其與另一種惡意軟體威脅的相似之處

該惡意軟體以 .NET 編寫並透過威脅文件傳播，主要用於網路間諜活動，並擁有廣泛的功能。這種不安全的軟體能夠識別目標電腦的具體特徵、列出目錄和檔案、選擇性地從受感染的系統上傳檔案、執行 shell 命令以及將檔案下載到受感染的電腦上。

在對 SideTwist 惡意軟體與 Menorah 進行徹底分析比較後，研究人員發現兩者之間存在很大的相似之處，特別是在功能方面。這些惡意軟體變體表現出類似的後門功能，用於執行 shell 命令並促進檔案上傳和下載。

然而，與早期版本的 SideTwist 相比，這種新威脅包含了額外的功能來混淆命令和控制 (C&C) 伺服器的流量，從而增強其隱藏性以逃避偵測。最初，惡意軟體在執行期間檢查特定參數，以確保正確的執行流程。如果沒有指定的參數，惡意軟體將終止，停止其操作。此例行檢查用於維護惡意軟體的隱藏行為並確定其是否在分析環境（例如沙箱）中運作。如果參數顯示它正在沙箱中運行，則惡意軟體將在沒有參數的情況下繼續運行，但最終會自行終止。

隨後，惡意軟體透過收集電腦名稱和使用者名稱等資訊來對受感染的電腦進行指紋識別。然後，該指紋以 HTTP 請求中的內容形式傳輸到 C&C 伺服器。