„Menorah“ kenkėjiška programa, kurią naudoja Irano APT

Irano remiami kibernetiniai veikėjai, žinomi kaip „OilRig“, buvo susieti su sukčiavimo kampanija, kurios aukos užkrečiamos naujo tipo kenkėjiška programa, vadinama „Menorah“. Remiantis saugumo tyrėjų ataskaita, ši kenkėjiška programa skirta kibernetiniam šnipinėjimui, galinti atpažinti ir nuskaityti failus tiksliniame kompiuteryje, taip pat įkelti ir atsisiųsti failus. Nors tikslūs šių išpuolių taikiniai dar nežinomi, jaukų panaudojimas rodo, kad bent vienas iš jų yra Saudo Arabijoje įsikūrusi organizacija.

„OilRig“, taip pat žinomas kaip APT34, „Cobalt Gypsy“, „Hazel Sandstorm“ ir „Helix Kitten“, yra Irano pažangios nuolatinės grėsmės (APT) grupė, kuri specializuojasi vykdant slaptas žvalgybos informacijos rinkimo operacijas, siekiant įsiskverbti į tikslinius tinklus ir palaikyti prieigą prie jų. Naujausi NSFOCUS atradimai atskleidė „OilRig“ sukčiavimo ataką, dėl kurios buvo įdiegtas naujas „SideTwist“ kenkėjiškos programos variantas, o tai rodo nuolatines plėtros pastangas.

Naujausioje tyrėjų dokumentuotoje infekcijos grandinėje suviliojimo dokumentas naudojamas suplanuotai užduočiai sukurti ir išmesti vykdomąjį failą („Menorah.exe“). Šis vykdomasis failas užmezga ryšį su nuotoliniu serveriu ir laukia tolesnių nurodymų, nors komandų ir valdymo serveris šiuo metu neaktyvus. Ši .NET kenkėjiška programa yra patobulinta originalaus C pagrindu sukurto SideTwist implanto, kurį aptiko Check Point 2021 m., versija. Ji aprūpinta įvairiomis funkcijomis, tokiomis kaip pagrindinio kompiuterio pirštų atspaudų ėmimas, failų sąrašas, failų įkėlimas iš pažeistos sistemos, apvalkalo komandų vykdymas ir failo atsisiuntimas į užkrėstą sistemą.

Kas yra OilRig APT?

„OilRig Advanced Persistent Threat“ (APT) yra kibernetinio šnipinėjimo grupė, kurią, kaip manoma, remia Irano vyriausybė. Taip pat žinomas įvairiais kitais pavadinimais, įskaitant APT34, Cobalt Gypsy, Hazel Sandstorm ir Helix Kitten, OilRig veikia mažiausiai nuo 2014 m. Štai keletas pagrindinių savybių ir veiklos, susijusios su OilRig APT:

• Irano priskyrimas: plačiai manoma, kad „OilRig“ yra valstybės remiama programišių grupė, įsikūrusi Irane. Nors Irano vyriausybė oficialiai nepatvirtino savo dalyvavimo, kibernetinio saugumo ekspertai ir tyrėjai susiejo grupę su Iranu remdamiesi įvairiais techniniais ir kontekstiniais rodikliais.
• Kibernetinis šnipinėjimas: „OilRig“ daugiausia dėmesio skiria kibernetinio šnipinėjimo operacijoms. Pagrindinis jų tikslas yra rinkti žvalgybos ir jautrią informaciją iš tikslinių organizacijų, įskaitant vyriausybines agentūras, įmones ir ypatingos svarbos infrastruktūros sektorius.
• „Spear Phishing“: „OilRig“ yra žinomas dėl savo sukčiavimo „spear“ kampanijų. Jie kuria įtikinamus ir tikslinius sukčiavimo el. laiškus, siekdami apgauti organizacijose esančius asmenis atidaryti kenkėjiškus priedus arba spustelėti kenkėjiškas nuorodas. Kai auka susikompromituoja, grupė įsitvirtina tiksliniame tinkle.
• Individualizuotos kenkėjiškos programos: „OilRig“ kuria ir naudoja tinkintą kenkėjišką programą, pritaikytą jų konkretiems tikslams. Ši kenkėjiška programa apima įvairius nuotolinės prieigos įrankius ir užpakalines duris, leidžiančias grupei išlaikyti atkaklumą ir valdyti pažeistas sistemas.
• Tikslinės pramonės šakos: „OilRig“ parodė susidomėjimą įvairiais sektoriais, įskaitant energetiką, telekomunikacijas, vyriausybę ir finansines organizacijas. Jų pasirinkimas rodo, kad dėmesys sutelkiamas į kritinę infrastruktūrą ir vertingą intelektinę nuosavybę.