Menorah Malware ansat af Iranian APT

Iransk-sponsorerede cyberaktører kendt som OilRig er blevet bundet til en spear-phishing-kampagne, der inficerer ofre med en ny type malware kaldet Menorah. Ifølge en rapport fra sikkerhedsforskere er denne malware designet til cyberspionage, med evnen til at identificere og læse filer på en målmaskine samt uploade og downloade filer. Mens de nøjagtige mål for disse angreb endnu ikke er kendt, tyder brugen af lokkemidler på, at mindst én af dem er en organisation beliggende i Saudi-Arabien.

OilRig, også kendt som APT34, Cobalt Gypsy, Hazel Sandstorm og Helix Kitten, er en iransk avanceret vedvarende trussel-gruppe (APT), der har specialiseret sig i at udføre hemmelige efterretningsindsamlingsoperationer for at infiltrere og opretholde adgang inden for målrettede netværk. Nylige resultater fra NSFOCUS afslørede et OilRig-phishing-angreb, der førte til implementeringen af en ny variant af SideTwist-malware, hvilket indikerer en igangværende udviklingsindsats.

I den seneste infektionskæde, der er dokumenteret af forskere, bruges et lokkedokument til at oprette en planlagt opgave til persistens og slippe en eksekverbar fil ("Menorah.exe"). Denne eksekverbare opretter kontakt med en ekstern server for at afvente yderligere instruktioner, selvom kommando-og-kontrol-serveren i øjeblikket er inaktiv. Denne .NET-malware er en forbedret version af det originale C-baserede SideTwist-implantat, opdaget af Check Point i 2021. Det er udstyret med forskellige funktioner, såsom værtsfingeraftryk, filliste, filoverførsel fra det kompromitterede system, udførelse af shell-kommandoer og fil, der downloades til det inficerede system.

Hvem er OilRig APT?

OilRig Advanced Persistent Threat (APT) er en cyberspionagegruppe, der menes at være støttet af den iranske regering. Også kendt under forskellige andre navne, herunder APT34, Cobalt Gypsy, Hazel Sandstorm og Helix Kitten, har OilRig været aktiv siden mindst 2014. Her er nogle nøgleegenskaber og aktiviteter forbundet med OilRig APT:

• Iransk tilskrivning: OilRig menes generelt at være en statssponsoreret hackergruppe baseret i Iran. Mens den iranske regering ikke officielt har bekræftet sin involvering, har cybersikkerhedseksperter og forskere knyttet gruppen til Iran baseret på forskellige tekniske og kontekstuelle indikatorer.
• Cyberspionage: OilRig fokuserer primært på cyberspionageoperationer. Deres hovedformål er at indsamle efterretninger og følsomme oplysninger fra målrettede organisationer, herunder offentlige myndigheder, virksomheder og kritiske infrastruktursektorer.
• Spear Phishing: OilRig er kendt for sin brug af spear-phishing-kampagner. De laver overbevisende og målrettede phishing-e-mails for at narre enkeltpersoner i organisationer til at åbne ondsindede vedhæftede filer eller klikke på ondsindede links. Når først et offer er kompromitteret, får gruppen fodfæste i målnetværket.
• Custom Malware: OilRig udvikler og bruger tilpasset malware, der er skræddersyet til deres specifikke mål. Denne malware inkluderer forskellige fjernadgangsværktøjer og bagdøre, der gør det muligt for gruppen at opretholde vedholdenhed og kontrol over kompromitterede systemer.
• Målrettede industrier: OilRig har vist interesse for en række sektorer, herunder energi, telekommunikation, regering og finansielle organisationer. Deres valg af mål antyder fokus på kritisk infrastruktur og værdifuld intellektuel ejendom.