Menorah Malware Az iráni APT alkalmazottja

Az OilRig néven ismert iráni szponzorált kiberszereplők egy lándzsás adathalász kampányhoz kapcsolódnak, amely egy új típusú, Menorah nevű rosszindulatú programmal fertőzi meg az áldozatokat. A biztonsági kutatók jelentése szerint ezt a kártevőt kiberkémkedésre tervezték, képes azonosítani és kiolvasni a célgépen lévő fájlokat, valamint fájlokat feltölteni és letölteni. Bár ezeknek a támadásoknak a pontos célpontjai még nem ismertek, a csali felhasználása arra utal, hogy legalább az egyikük egy Szaúd-Arábiában található szervezet.

Az OilRig, más néven APT34, Cobalt Gypsy, Hazel Sandstorm és Helix Kitten, egy iráni fejlett állandó fenyegetés (APT) csoport, amely titkos információgyűjtési műveletek végrehajtására specializálódott, hogy beszivárogjon és fenntartsa a hozzáférést a célzott hálózatokba. Az NSFOCUS legújabb eredményei egy OilRig adathalász támadást tártak fel, amely a SideTwist rosszindulatú program új változatának telepítéséhez vezetett, jelezve a folyamatos fejlesztési erőfeszítéseket.

A kutatók által dokumentált legutóbbi fertőzési láncban egy csalogató dokumentumot használnak egy ütemezett feladat létrehozására a fennmaradás érdekében, és egy végrehajtható fájlt ("Menorah.exe") dobnak el. Ez a végrehajtható fájl kapcsolatot létesít egy távoli szerverrel, hogy várja a további utasításokat, bár a parancs- és vezérlőkiszolgáló jelenleg inaktív. Ez a .NET rosszindulatú program a Check Point által 2021-ben felfedezett eredeti C-alapú SideTwist implantátum továbbfejlesztett változata. Különféle funkciókkal rendelkezik, mint például a gazdagép-ujjlenyomat-vétel, a fájllistázás, a fájlok feltöltése a feltört rendszerből, a shell parancsok végrehajtása és fájl letöltése a fertőzött rendszerre.

Ki az OilRig APT?

Az OilRig Advanced Persistent Threat (APT) egy kiberkémkedési csoport, amelyet feltételezések szerint az iráni kormány támogat. Számos más néven is ismert, beleértve az APT34-et, a Cobalt Gypsy-t, a Hazel Sandstorm-ot és a Helix Kitten-t, az OilRig legalább 2014 óta aktív. Íme néhány kulcsfontosságú jellemző és tevékenység az OilRig APT-vel kapcsolatban:

• Iráni forrás: Az OilRigről széles körben úgy tartják, hogy egy iráni székhelyű, államilag támogatott hackercsoport. Míg az iráni kormány hivatalosan nem erősítette meg részvételét, kiberbiztonsági szakértők és kutatók különféle technikai és kontextuális mutatók alapján Iránnal hozták kapcsolatba a csoportot.
• Kiberkémkedés: Az OilRig elsősorban a kiberkémkedési műveletekre összpontosít. Fő céljuk, hogy titkos információkat és érzékeny információkat gyűjtsenek a megcélzott szervezetektől, ideértve a kormányzati szerveket, a vállalkozásokat és a kritikus infrastrukturális szektorokat.
• Spear Phishing: Az OilRig arról ismert, hogy lándzsás adathalász kampányokat használ. Meggyőző és célzott adathalász e-maileket készítenek, hogy rávegyék a szervezeteken belüli személyeket rosszindulatú mellékletek megnyitására vagy rosszindulatú hivatkozásokra való kattintásra. Ha egy áldozat kompromittálódik, a csoport megveti a lábát a célhálózaton belül.
• Egyéni rosszindulatú programok: Az OilRig egyedi kártevőket fejleszt és használ a konkrét célpontjaira szabva. Ez a rosszindulatú program különféle távoli hozzáférési eszközöket és hátsó ajtókat tartalmaz, amelyek lehetővé teszik a csoport számára, hogy fenntartsák a kitartást és az irányítást a feltört rendszerek felett.
• Célzott iparágak: Az OilRig érdeklődést mutatott számos ágazat iránt, beleértve az energetikát, a távközlést, a kormányzatot és a pénzügyi szervezeteket. Céljaik megválasztása azt sugallja, hogy a kritikus infrastruktúrára és az értékes szellemi tulajdonra kell összpontosítani.