Menorah Malware In dienst van de Iraanse APT

Door Iran gesponsorde cyberacteurs, bekend als OilRig, zijn gekoppeld aan een spearphishing-campagne die slachtoffers infecteert met een nieuw type malware genaamd Menorah. Volgens een rapport van beveiligingsonderzoekers is deze malware ontworpen voor cyberspionage, met de mogelijkheid om bestanden op een doelmachine te identificeren en te lezen, en om bestanden te uploaden en downloaden. Hoewel de exacte doelwitten van deze aanvallen nog niet bekend zijn, suggereert het gebruik van lokvogels dat ten minste één van hen een organisatie is die zich in Saoedi-Arabië bevindt.

OilRig, ook bekend als APT34, Cobalt Gypsy, Hazel Sandstorm en Helix Kitten, is een Iraanse Advanced Persistent Threat (APT)-groep die gespecialiseerd is in het uitvoeren van geheime operaties voor het verzamelen van inlichtingen om te infiltreren en de toegang binnen gerichte netwerken te behouden. Recente bevindingen van NSFOCUS brachten een phishing-aanval van OilRig aan het licht die leidde tot de inzet van een nieuwe variant van SideTwist-malware, wat wijst op voortdurende ontwikkelingsinspanningen.

In de meest recente infectieketen die door onderzoekers is gedocumenteerd, wordt een lokdocument gebruikt om een geplande taak voor persistentie te creëren en een uitvoerbaar bestand ("Menorah.exe") te verwijderen. Dit uitvoerbare bestand brengt contact tot stand met een externe server om verdere instructies af te wachten, hoewel de command-and-control-server momenteel inactief is. Deze .NET-malware is een verbeterde versie van het originele C-gebaseerde SideTwist-implantaat dat Check Point in 2021 ontdekte. Het is uitgerust met verschillende functies, zoals host-vingerafdrukken, bestandslijsten, het uploaden van bestanden vanaf het aangetaste systeem, het uitvoeren van shell-opdrachten en bestand downloaden naar het geïnfecteerde systeem.

Wie is het OilRig APT?

De OilRig Advanced Persistent Threat (APT) is een cyberspionagegroep die vermoedelijk wordt gesteund door de Iraanse regering. Ook bekend onder verschillende andere namen, waaronder APT34, Cobalt Gypsy, Hazel Sandstorm en Helix Kitten, is OilRig actief sinds minstens 2014. Hier zijn enkele belangrijke kenmerken en activiteiten die verband houden met de OilRig APT:

• Iraanse toeschrijving: Er wordt algemeen aangenomen dat OilRig een door de staat gesponsorde hackgroep is, gevestigd in Iran. Hoewel de Iraanse regering haar betrokkenheid niet officieel heeft bevestigd, hebben cyberbeveiligingsexperts en onderzoekers de groep aan Iran gekoppeld op basis van verschillende technische en contextuele indicatoren.
• Cyberspionage: OilRig richt zich primair op cyberspionageoperaties. Hun hoofddoel is het verzamelen van inlichtingen en gevoelige informatie van gerichte organisaties, waaronder overheidsinstanties, bedrijven en kritieke infrastructuursectoren.
• Spear Phishing: OilRig staat bekend om zijn gebruik van spearphishing-campagnes. Ze maken overtuigende en gerichte phishing-e-mails om individuen binnen organisaties te misleiden om kwaadaardige bijlagen te openen of op kwaadaardige links te klikken. Zodra een slachtoffer is gecompromitteerd, krijgt de groep voet aan de grond binnen het doelnetwerk.
• Aangepaste malware: OilRig ontwikkelt en gebruikt aangepaste malware die is afgestemd op hun specifieke doelen. Deze malware omvat verschillende tools voor externe toegang en achterdeurtjes, waardoor de groep persistentie en controle over gecompromitteerde systemen kan behouden.
• Doelgerichte industrieën: OilRig heeft interesse getoond in een reeks sectoren, waaronder energie, telecommunicatie, overheid en financiële organisaties. Hun keuze van doelstellingen suggereert een focus op kritieke infrastructuur en waardevol intellectueel eigendom.