Menorah-Malware im Einsatz bei der iranischen APT

Vom Iran geförderte Cyber-Akteure namens OilRig stehen im Zusammenhang mit einer Spear-Phishing-Kampagne, bei der Opfer mit einer neuen Art von Malware namens Menorah infiziert werden. Laut einem Bericht von Sicherheitsforschern ist diese Malware für Cyberspionage konzipiert und bietet die Fähigkeit, Dateien auf einem Zielcomputer zu identifizieren und zu lesen sowie Dateien hoch- und herunterzuladen. Während die genauen Ziele dieser Angriffe noch nicht bekannt sind, deutet der Einsatz von Lockvögeln darauf hin, dass es sich bei mindestens einem von ihnen um eine Organisation mit Sitz in Saudi-Arabien handelt.

OilRig, auch bekannt als APT34, Cobalt Gypsy, Hazel Sandstorm und Helix Kitten, ist eine iranische Advanced Persistent Threat (APT)-Gruppe, die sich auf die Durchführung verdeckter Geheimdienstoperationen spezialisiert hat, um gezielte Netzwerke zu infiltrieren und den Zugriff darauf aufrechtzuerhalten. Jüngste Erkenntnisse von NSFOCUS ergaben einen OilRig-Phishing-Angriff, der zur Bereitstellung einer neuen Variante der SideTwist-Malware führte, was auf laufende Entwicklungsbemühungen hindeutet.

In der jüngsten von Forschern dokumentierten Infektionskette wird ein Lockdokument verwendet, um eine geplante Aufgabe zur Persistenz zu erstellen und eine ausführbare Datei („Menorah.exe“) abzulegen. Diese ausführbare Datei stellt Kontakt mit einem Remote-Server her, um auf weitere Anweisungen zu warten, obwohl der Command-and-Control-Server derzeit inaktiv ist. Diese .NET-Malware ist eine verbesserte Version des ursprünglichen C-basierten SideTwist-Implantats, das Check Point im Jahr 2021 entdeckt hat. Sie ist mit verschiedenen Funktionen ausgestattet, wie Host-Fingerprinting, Dateiliste, Datei-Upload vom kompromittierten System, Shell-Befehlsausführung usw Herunterladen der Datei auf das infizierte System.

Wer ist die OilRig APT?

Die OilRig Advanced Persistent Threat (APT) ist eine Cyber-Spionagegruppe, die vermutlich von der iranischen Regierung unterstützt wird. OilRig ist auch unter verschiedenen anderen Namen bekannt, darunter APT34, Cobalt Gypsy, Hazel Sandstorm und Helix Kitten, und ist seit mindestens 2014 aktiv. Hier sind einige wichtige Merkmale und Aktivitäten, die mit dem OilRig APT verbunden sind:

• Iranische Zuschreibung: Es wird allgemein angenommen, dass OilRig eine staatlich geförderte Hackergruppe mit Sitz im Iran ist. Obwohl die iranische Regierung ihre Beteiligung nicht offiziell bestätigt hat, haben Cybersicherheitsexperten und Forscher die Gruppe aufgrund verschiedener technischer und kontextbezogener Indikatoren mit dem Iran in Verbindung gebracht.
• Cyberspionage: OilRig konzentriert sich hauptsächlich auf Cyberspionageoperationen. Ihr Hauptziel besteht darin, Informationen und sensible Informationen von Zielorganisationen zu sammeln, darunter Regierungsbehörden, Unternehmen und kritische Infrastruktursektoren.
• Spear-Phishing: OilRig ist für den Einsatz von Spear-Phishing-Kampagnen bekannt. Sie erstellen überzeugende und gezielte Phishing-E-Mails, um Einzelpersonen innerhalb von Organisationen dazu zu verleiten, schädliche Anhänge zu öffnen oder auf schädliche Links zu klicken. Sobald ein Opfer kompromittiert wird, kann die Gruppe im Zielnetzwerk Fuß fassen.
• Benutzerdefinierte Malware: OilRig entwickelt und verwendet benutzerdefinierte Malware, die auf ihre spezifischen Ziele zugeschnitten ist. Diese Malware umfasst verschiedene Fernzugriffstools und Hintertüren, die es der Gruppe ermöglichen, ihre Persistenz und Kontrolle über kompromittierte Systeme aufrechtzuerhalten.
• Zielbranchen: OilRig hat Interesse an einer Reihe von Branchen gezeigt, darunter Energie, Telekommunikation, Regierung und Finanzorganisationen. Ihre Wahl der Ziele deutet auf einen Fokus auf kritische Infrastruktur und wertvolles geistiges Eigentum hin.