Malware Menorah empregado pela APT iraniana

Atores cibernéticos patrocinados pelo Irã, conhecidos como OilRig, foram vinculados a uma campanha de spear-phishing que infecta as vítimas com um novo tipo de malware chamado Menorah. De acordo com um relatório de pesquisadores de segurança, esse malware é projetado para espionagem cibernética, com a capacidade de identificar e ler arquivos em uma máquina alvo, bem como fazer upload e download de arquivos. Embora os alvos exactos destes ataques ainda não sejam conhecidos, a utilização de iscas sugere que pelo menos um deles é uma organização localizada na Arábia Saudita.

OilRig, também conhecido como APT34, Cobalt Gypsy, Hazel Sandstorm e Helix Kitten, é um grupo iraniano de ameaças persistentes avançadas (APT) especializado na condução de operações secretas de coleta de inteligência para se infiltrar e manter o acesso em redes direcionadas. Descobertas recentes da NSFOCUS revelaram um ataque de phishing da OilRig que levou à implantação de uma nova variante do malware SideTwist, indicando esforços contínuos de desenvolvimento.

Na cadeia de infecção mais recente documentada por pesquisadores, um documento isca é usado para criar uma tarefa agendada para persistência e descartar um arquivo executável (“Menorah.exe”). Este executável estabelece contato com um servidor remoto para aguardar novas instruções, embora o servidor de comando e controle esteja atualmente inativo. Este malware .NET é uma versão aprimorada do implante SideTwist baseado em C original descoberto pela Check Point em 2021. Ele vem equipado com vários recursos, como impressão digital de host, listagem de arquivos, upload de arquivos do sistema comprometido, execução de comandos shell e download de arquivos para o sistema infectado.

Quem é o OilRig APT?

O OilRig Advanced Persistent Threat (APT) é um grupo de espionagem cibernética que se acredita ser apoiado pelo governo iraniano. Também conhecida por vários outros nomes, incluindo APT34, Cobalt Gypsy, Hazel Sandstorm e Helix Kitten, a OilRig está ativa pelo menos desde 2014. Aqui estão algumas características e atividades principais associadas à OilRig APT:

• Atribuição iraniana: Acredita-se que a OilRig seja um grupo de hackers patrocinado pelo Estado e com sede no Irã. Embora o governo iraniano não tenha confirmado oficialmente o seu envolvimento, especialistas e investigadores em segurança cibernética ligaram o grupo ao Irão com base em vários indicadores técnicos e contextuais.
• Espionagem cibernética: OilRig concentra-se principalmente em operações de espionagem cibernética. O seu principal objetivo é recolher inteligência e informações sensíveis de organizações visadas, incluindo agências governamentais, empresas e setores de infraestruturas críticas.
• Spear Phishing: OilRig é conhecida por usar campanhas de spear phishing. Eles criam e-mails de phishing convincentes e direcionados para induzir indivíduos dentro de organizações a abrir anexos maliciosos ou clicar em links maliciosos. Depois que a vítima é comprometida, o grupo ganha uma posição segura na rede alvo.
• Malware personalizado: a OilRig desenvolve e usa malware personalizado adaptado aos seus alvos específicos. Este malware inclui diversas ferramentas de acesso remoto e backdoors, permitindo ao grupo manter persistência e controle sobre os sistemas comprometidos.
• Indústrias-alvo: A OilRig demonstrou interesse em vários setores, incluindo energia, telecomunicações, governo e organizações financeiras. A sua escolha de alvos sugere um foco em infra-estruturas críticas e em propriedade intelectual valiosa.