Złośliwe oprogramowanie Menorah wykorzystywane przez irański APT

Sponsorowani przez Iran cyberprzestępcy znani jako OilRig zostali powiązani z kampanią spear-phishingu, która infekuje ofiary nowym rodzajem złośliwego oprogramowania o nazwie Menorah. Według raportu badaczy bezpieczeństwa to szkodliwe oprogramowanie służy do cyberszpiegostwa i potrafi identyfikować i odczytywać pliki na komputerze docelowym, a także przesyłać i pobierać pliki. Chociaż dokładne cele tych ataków nie są jeszcze znane, użycie wabików sugeruje, że co najmniej jeden z nich to organizacja zlokalizowana w Arabii Saudyjskiej.

OilRig, znana również jako APT34, Cobalt Gypsy, Hazel Sandstorm i Helix Kitten, to irańska grupa zajmująca się zaawansowanym trwałym zagrożeniem (APT), która specjalizuje się w prowadzeniu tajnych operacji gromadzenia danych wywiadowczych w celu infiltracji i utrzymywania dostępu w docelowych sieciach. Niedawne ustalenia NSFOCUS ujawniły atak phishingowy OilRig, który doprowadził do wdrożenia nowego wariantu złośliwego oprogramowania SideTwist, co wskazuje na trwające wysiłki rozwojowe.

W najnowszym łańcuchu infekcji udokumentowanym przez badaczy dokument przynęty służy do utworzenia zaplanowanego zadania zapewniającego trwałość i upuszczenia pliku wykonywalnego („Menorah.exe”). Ten plik wykonywalny nawiązuje kontakt ze zdalnym serwerem w oczekiwaniu na dalsze instrukcje, chociaż serwer dowodzenia i kontroli jest obecnie nieaktywny. To złośliwe oprogramowanie .NET jest ulepszoną wersją oryginalnego implantu SideTwist opartego na C, odkrytego przez firmę Check Point w 2021 roku. Jest wyposażone w różne funkcje, takie jak pobieranie odcisków palców hosta, wyświetlanie listy plików, przesyłanie plików z zaatakowanego systemu, wykonywanie poleceń powłoki i pobranie pliku do zainfekowanego systemu.

Kim jest APT OilRig?

OilRig Advanced Persistent Threat (APT) to grupa cyberszpiegowska, prawdopodobnie wspierana przez irański rząd. Znany również pod różnymi innymi nazwami, w tym APT34, Cobalt Gypsy, Hazel Sandstorm i Helix Kitten, OilRig działa co najmniej od 2014 roku. Oto kilka kluczowych cech i działań związanych z OilRig APT:

• Uznanie autorstwa irańskie: Powszechnie uważa się, że OilRig to sponsorowana przez państwo grupa hakerska z siedzibą w Iranie. Chociaż rząd irański oficjalnie nie potwierdził swojego zaangażowania, eksperci i badacze ds. cyberbezpieczeństwa powiązali tę grupę z Iranem na podstawie różnych wskaźników technicznych i kontekstowych.
• Cyberszpiegostwo: OilRig koncentruje się przede wszystkim na operacjach cyberszpiegowskich. Ich głównym celem jest gromadzenie danych wywiadowczych i wrażliwych od docelowych organizacji, w tym agencji rządowych, przedsiębiorstw i sektorów infrastruktury krytycznej.
• Spear Phishing: OilRig jest znany ze stosowania kampanii typu spear phishing. Tworzą przekonujące i ukierunkowane wiadomości e-mail phishingowe, aby nakłonić osoby w organizacjach do otwarcia złośliwych załączników lub kliknięcia złośliwych łączy. Gdy ofiara zostanie naruszona, grupa zdobywa przyczółek w sieci docelowej.
• Niestandardowe złośliwe oprogramowanie: OilRig opracowuje i wykorzystuje niestandardowe złośliwe oprogramowanie dostosowane do konkretnych celów. To złośliwe oprogramowanie zawiera różne narzędzia zdalnego dostępu i backdoory, umożliwiające grupie zachowanie trwałości i kontrolę nad zaatakowanymi systemami.
• Docelowe branże: OilRig wykazał zainteresowanie szeregiem sektorów, w tym energią, telekomunikacją, organizacjami rządowymi i finansowymi. Wybór celów sugeruje skupienie się na infrastrukturze krytycznej i cennej własności intelektualnej.