Malware Menorah impiegato dall'APT iraniana

Gli autori informatici sponsorizzati dall'Iran noti come OilRig sono stati legati a una campagna di spear-phishing che infetta le vittime con un nuovo tipo di malware chiamato Menorah. Secondo un rapporto dei ricercatori di sicurezza, questo malware è progettato per lo spionaggio informatico, con la capacità di identificare e leggere file su un computer preso di mira, nonché di caricare e scaricare file. Sebbene gli obiettivi esatti di questi attacchi non siano ancora noti, l’uso di esche suggerisce che almeno uno di essi sia un’organizzazione situata in Arabia Saudita.

OilRig, noto anche come APT34, Cobalt Gypsy, Hazel Sandstorm e Helix Kitten, è un gruppo iraniano di minacce avanzate persistenti (APT) specializzato nella conduzione di operazioni segrete di raccolta di informazioni per infiltrarsi e mantenere l'accesso all'interno delle reti mirate. Recenti scoperte di NSFOCUS hanno rivelato un attacco di phishing OilRig che ha portato alla distribuzione di una nuova variante del malware SideTwist, indicando gli sforzi di sviluppo in corso.

Nella catena di infezione più recente documentata dai ricercatori, viene utilizzato un documento esca per creare un'attività pianificata per la persistenza e rilasciare un file eseguibile ("Menorah.exe"). Questo eseguibile stabilisce un contatto con un server remoto per attendere ulteriori istruzioni, sebbene il server di comando e controllo sia attualmente inattivo. Questo malware .NET è una versione migliorata dell'originale impianto SideTwist basato su C scoperto da Check Point nel 2021. È dotato di varie funzionalità, come l'impronta digitale dell'host, l'elenco dei file, il caricamento di file dal sistema compromesso, l'esecuzione di comandi shell e download di file nel sistema infetto.

Chi è l'APT OilRig?

L'OilRig Advanced Persistent Threat (APT) è un gruppo di spionaggio informatico ritenuto sostenuto dal governo iraniano. Conosciuto anche con vari altri nomi, tra cui APT34, Cobalt Gypsy, Hazel Sandstorm e Helix Kitten, OilRig è attivo almeno dal 2014. Ecco alcune caratteristiche chiave e attività associate a OilRig APT:

• Attribuzione iraniana: è opinione diffusa che OilRig sia un gruppo di hacking sponsorizzato dallo stato con sede in Iran. Sebbene il governo iraniano non abbia confermato ufficialmente il suo coinvolgimento, esperti e ricercatori di sicurezza informatica hanno collegato il gruppo all’Iran sulla base di vari indicatori tecnici e contestuali.
• Spionaggio informatico: OilRig si concentra principalmente sulle operazioni di spionaggio informatico. Il loro obiettivo principale è raccogliere intelligence e informazioni sensibili da organizzazioni mirate, tra cui agenzie governative, aziende e settori delle infrastrutture critiche.
• Spear Phishing: OilRig è noto per l'utilizzo di campagne di spear phishing. Creano e-mail di phishing convincenti e mirate per indurre gli individui all'interno delle organizzazioni ad aprire allegati dannosi o a fare clic su collegamenti dannosi. Una volta che la vittima viene compromessa, il gruppo riesce a prendere piede all’interno della rete presa di mira.
• Malware personalizzato: OilRig sviluppa e utilizza malware personalizzato su misura per i propri obiettivi specifici. Questo malware include vari strumenti di accesso remoto e backdoor, consentendo al gruppo di mantenere la persistenza e il controllo sui sistemi compromessi.
• Settori target: OilRig ha mostrato interesse per una serie di settori, tra cui energia, telecomunicazioni, organizzazioni governative e finanziarie. La scelta degli obiettivi suggerisce un focus sulle infrastrutture critiche e sulla proprietà intellettuale di valore.