Logiciel malveillant Menorah utilisé par l'APT iranien

Les cyber-acteurs parrainés par l'Iran, connus sous le nom d'OilRig, ont été liés à une campagne de spear phishing qui infecte les victimes avec un nouveau type de malware appelé Menorah. Selon un rapport de chercheurs en sécurité, ce malware est conçu pour le cyberespionnage, avec la capacité d'identifier et de lire des fichiers sur une machine cible, ainsi que de télécharger des fichiers. Même si les cibles exactes de ces attaques ne sont pas encore connues, l’utilisation de leurres suggère qu’au moins l’une d’entre elles est une organisation située en Arabie Saoudite.

OilRig, également connu sous les noms d'APT34, Cobalt Gypsy, Hazel Sandstorm et Helix Kitten, est un groupe iranien de menace persistante avancée (APT) spécialisé dans la conduite d'opérations secrètes de collecte de renseignements pour infiltrer et maintenir l'accès au sein des réseaux ciblés. Des découvertes récentes de NSFOCUS ont révélé une attaque de phishing OilRig qui a conduit au déploiement d'une nouvelle variante du malware SideTwist, indiquant des efforts de développement en cours.

Dans la chaîne d'infection la plus récente documentée par les chercheurs, un document leurre est utilisé pour créer une tâche planifiée à des fins de persistance et supprimer un fichier exécutable (« Menorah.exe »). Cet exécutable établit un contact avec un serveur distant pour attendre des instructions supplémentaires, bien que le serveur de commande et de contrôle soit actuellement inactif. Ce malware .NET est une version améliorée de l'implant SideTwist original basé sur C découvert par Check Point en 2021. Il est équipé de diverses fonctionnalités, telles que l'empreinte digitale de l'hôte, la liste des fichiers, le téléchargement de fichiers à partir du système compromis, l'exécution de commandes shell et téléchargement de fichiers sur le système infecté.

Qui est l’APT OilRig ?

OilRig Advanced Persistent Threat (APT) est un groupe de cyberespionnage qui serait soutenu par le gouvernement iranien. Également connu sous divers autres noms, notamment APT34, Cobalt Gypsy, Hazel Sandstorm et Helix Kitten, OilRig est actif depuis au moins 2014. Voici quelques caractéristiques et activités clés associées à OilRig APT :

• Attribution iranienne : OilRig est largement considéré comme un groupe de piratage informatique parrainé par l'État et basé en Iran. Bien que le gouvernement iranien n’ait pas officiellement confirmé son implication, des experts et chercheurs en cybersécurité ont établi un lien entre le groupe et l’Iran sur la base de divers indicateurs techniques et contextuels.
• Cyber-espionnage : OilRig se concentre principalement sur les opérations de cyber-espionnage. Leur objectif principal est de recueillir des renseignements et des informations sensibles auprès d'organisations ciblées, notamment des agences gouvernementales, des entreprises et des secteurs d'infrastructures critiques.
• Spear Phishing : OilRig est connu pour son utilisation de campagnes de spear phishing. Ils créent des e-mails de phishing convaincants et ciblés pour inciter les individus au sein des organisations à ouvrir des pièces jointes malveillantes ou à cliquer sur des liens malveillants. Une fois qu’une victime est compromise, le groupe prend pied au sein du réseau cible.
• Logiciels malveillants personnalisés : OilRig développe et utilise des logiciels malveillants personnalisés adaptés à leurs cibles spécifiques. Ce malware comprend divers outils d'accès à distance et portes dérobées, permettant au groupe de maintenir la persistance et le contrôle des systèmes compromis.
• Industries ciblées : OilRig a manifesté son intérêt pour une gamme de secteurs, notamment l'énergie, les télécommunications, le gouvernement et les organisations financières. Leur choix de cibles suggère une concentration sur les infrastructures critiques et la propriété intellectuelle précieuse.