Malware Menorah empleado por la APT iraní

Los ciberactores patrocinados por Irán, conocidos como OilRig, han sido vinculados a una campaña de phishing que infecta a las víctimas con un nuevo tipo de malware llamado Menorah. Según un informe de investigadores de seguridad, este malware está diseñado para el ciberespionaje, con la capacidad de identificar y leer archivos en una máquina objetivo, así como cargar y descargar archivos. Si bien aún no se conocen los objetivos exactos de estos ataques, el uso de señuelos sugiere que al menos uno de ellos es una organización ubicada en Arabia Saudita.

OilRig, también conocido como APT34, Cobalt Gypsy, Hazel Sandstorm y Helix Kitten, es un grupo iraní de amenazas persistentes avanzadas (APT) que se especializa en realizar operaciones encubiertas de recopilación de inteligencia para infiltrarse y mantener el acceso dentro de las redes específicas. Los hallazgos recientes de NSFOCUS revelaron un ataque de phishing de OilRig que condujo a la implementación de una nueva variante del malware SideTwist, lo que indica esfuerzos de desarrollo en curso.

En la cadena de infección más reciente documentada por los investigadores, se utiliza un documento señuelo para crear una tarea programada para la persistencia y soltar un archivo ejecutable ("Menorah.exe"). Este ejecutable establece contacto con un servidor remoto para esperar más instrucciones, aunque el servidor de comando y control está actualmente inactivo. Este malware .NET es una versión mejorada del implante SideTwist original basado en C descubierto por Check Point en 2021. Viene equipado con varias funciones, como toma de huellas digitales del host, listado de archivos, carga de archivos desde el sistema comprometido, ejecución de comandos de shell y descarga de archivos al sistema infectado.

¿Quién es OilRig APT?

OilRig Advanced Persistent Threat (APT) es un grupo de ciberespionaje que se cree que cuenta con el respaldo del gobierno iraní. También conocida por varios otros nombres, incluidos APT34, Cobalt Gypsy, Hazel Sandstorm y Helix Kitten, OilRig ha estado activa desde al menos 2014. A continuación se muestran algunas características y actividades clave asociadas con OilRig APT:

• Atribución iraní: Se cree ampliamente que OilRig es un grupo de piratería patrocinado por el estado con sede en Irán. Si bien el gobierno iraní no ha confirmado oficialmente su participación, expertos e investigadores en ciberseguridad han vinculado al grupo con Irán basándose en varios indicadores técnicos y contextuales.
• Espionaje cibernético: OilRig se centra principalmente en operaciones de espionaje cibernético. Su principal objetivo es recopilar inteligencia e información confidencial de organizaciones específicas, incluidas agencias gubernamentales, empresas y sectores de infraestructura crítica.
• Spear Phishing: OilRig es conocido por su uso de campañas de phishing. Crean correos electrónicos de phishing convincentes y dirigidos a engañar a las personas dentro de las organizaciones para que abran archivos adjuntos maliciosos o hagan clic en enlaces maliciosos. Una vez que una víctima se ve comprometida, el grupo se afianza dentro de la red objetivo.
• Malware personalizado: OilRig desarrolla y utiliza malware personalizado adaptado a sus objetivos específicos. Este malware incluye varias herramientas de acceso remoto y puertas traseras, lo que permite al grupo mantener la persistencia y el control de los sistemas comprometidos.
• Industrias objetivo: OilRig ha mostrado interés en una variedad de sectores, incluidos energía, telecomunicaciones, gobierno y organizaciones financieras. Su elección de objetivos sugiere un enfoque en infraestructura crítica y propiedad intelectual valiosa.