Κακόβουλο λογισμικό Menorah που χρησιμοποιείται από την Iranian APT

Οι υποστηριζόμενοι από το Ιράν ηθοποιοί στον κυβερνοχώρο, γνωστοί ως OilRig, έχουν συνδεθεί με μια εκστρατεία spear-phishing που μολύνει τα θύματα με ένα νέο είδος κακόβουλου λογισμικού που ονομάζεται Menorah. Σύμφωνα με έκθεση ερευνητών ασφαλείας, αυτό το κακόβουλο λογισμικό έχει σχεδιαστεί για κυβερνοκατασκοπεία, με δυνατότητα αναγνώρισης και ανάγνωσης αρχείων σε ένα μηχάνημα-στόχου, καθώς και αποστολής και λήψης αρχείων. Αν και οι ακριβείς στόχοι αυτών των επιθέσεων δεν είναι ακόμη γνωστοί, η χρήση δολωμάτων υποδηλώνει ότι τουλάχιστον ένας από αυτούς είναι μια οργάνωση που βρίσκεται στη Σαουδική Αραβία.

Η OilRig, γνωστή και ως APT34, Cobalt Gypsy, Hazel Sandstorm και Helix Kitten, είναι μια ιρανική ομάδα προηγμένης επίμονης απειλής (APT) που ειδικεύεται στη διεξαγωγή μυστικών επιχειρήσεων συλλογής πληροφοριών για διείσδυση και διατήρηση πρόσβασης σε στοχευμένα δίκτυα. Πρόσφατα ευρήματα από το NSFOCUS αποκάλυψαν μια επίθεση phishing της OilRig που οδήγησε στην ανάπτυξη μιας νέας παραλλαγής κακόβουλου λογισμικού SideTwist, υποδεικνύοντας τις συνεχιζόμενες προσπάθειες ανάπτυξης.

Στην πιο πρόσφατη αλυσίδα μόλυνσης που τεκμηριώθηκε από ερευνητές, ένα έγγραφο δέλεαρ χρησιμοποιείται για τη δημιουργία μιας προγραμματισμένης εργασίας για επιμονή και την απόθεση ενός εκτελέσιμου αρχείου ("Menorah.exe"). Αυτό το εκτελέσιμο δημιουργεί επαφή με έναν απομακρυσμένο διακομιστή για να περιμένει περαιτέρω οδηγίες, αν και ο διακομιστής εντολών και ελέγχου είναι επί του παρόντος ανενεργός. Αυτό το κακόβουλο λογισμικό .NET είναι μια βελτιωμένη έκδοση του αρχικού εμφυτεύματος SideTwist με βάση το C που ανακαλύφθηκε από το Check Point το 2021. Διατίθεται με διάφορες δυνατότητες, όπως δακτυλικό αποτύπωμα κεντρικού υπολογιστή, καταχώριση αρχείων, μεταφόρτωση αρχείων από το παραβιασμένο σύστημα, εκτέλεση εντολών κελύφους και λήψη του αρχείου στο μολυσμένο σύστημα.

Ποιος είναι το OilRig APT;

Η OilRig Advanced Persistent Threat (APT) είναι μια ομάδα κυβερνοκατασκοπείας που πιστεύεται ότι υποστηρίζεται από την ιρανική κυβέρνηση. Επίσης γνωστό με διάφορα άλλα ονόματα, όπως APT34, Cobalt Gypsy, Hazel Sandstorm και Helix Kitten, η OilRig δραστηριοποιείται τουλάχιστον από το 2014. Ακολουθούν ορισμένα βασικά χαρακτηριστικά και δραστηριότητες που σχετίζονται με το OilRig APT:

• Ιρανική Αναφορά: Η OilRig πιστεύεται ευρέως ότι είναι μια κρατική ομάδα hacking με έδρα το Ιράν. Ενώ η ιρανική κυβέρνηση δεν έχει επιβεβαιώσει επίσημα τη συμμετοχή της, εμπειρογνώμονες στον κυβερνοχώρο και ερευνητές έχουν συνδέσει την ομάδα με το Ιράν βάσει διαφόρων τεχνικών και συμφραζομένων δεικτών.
• Κυβερνοκατασκοπεία: Η OilRig εστιάζει κυρίως σε επιχειρήσεις κυβερνοκατασκοπείας. Ο κύριος στόχος τους είναι να συλλέγουν πληροφορίες και ευαίσθητες πληροφορίες από στοχευμένους οργανισμούς, συμπεριλαμβανομένων κρατικών υπηρεσιών, επιχειρήσεων και τομέων υποδομής ζωτικής σημασίας.
• Spear Phishing: Η OilRig είναι γνωστή για τη χρήση εκστρατειών spear-phishing. Δημιουργούν πειστικά και στοχευμένα μηνύματα ηλεκτρονικού ψαρέματος για να εξαπατήσουν άτομα εντός των οργανισμών ώστε να ανοίξουν κακόβουλα συνημμένα ή να κάνουν κλικ σε κακόβουλους συνδέσμους. Μόλις ένα θύμα παραβιαστεί, η ομάδα κερδίζει έδαφος μέσα στο δίκτυο-στόχο.
• Προσαρμοσμένο κακόβουλο λογισμικό: Η OilRig αναπτύσσει και χρησιμοποιεί προσαρμοσμένο κακόβουλο λογισμικό προσαρμοσμένο στους συγκεκριμένους στόχους της. Αυτό το κακόβουλο λογισμικό περιλαμβάνει διάφορα εργαλεία απομακρυσμένης πρόσβασης και κερκόπορτες, επιτρέποντας στην ομάδα να διατηρήσει την επιμονή και τον έλεγχο των παραβιασμένων συστημάτων.
• Στοχευμένες βιομηχανίες: Η OilRig έχει δείξει ενδιαφέρον για μια σειρά τομέων, συμπεριλαμβανομένων της ενέργειας, των τηλεπικοινωνιών, της κυβέρνησης και των χρηματοπιστωτικών οργανισμών. Η επιλογή των στόχων τους υποδηλώνει εστίαση σε υποδομές ζωτικής σημασίας και πολύτιμη πνευματική ιδιοκτησία.