Вредоносная программа Menorah, используемая иранской APT

Спонсируемые Ираном киберпреступники, известные как OilRig, были связаны с целевой фишинговой кампанией, в ходе которой жертвы заражаются новым типом вредоносного ПО под названием Menorah. Согласно отчету исследователей безопасности, это вредоносное ПО предназначено для кибершпионажа и имеет возможность идентифицировать и читать файлы на целевой машине, а также загружать и скачивать файлы. Хотя точные цели этих атак пока неизвестны, использование ложных целей позволяет предположить, что по крайней мере одной из них является организация, расположенная в Саудовской Аравии.

OilRig, также известная как APT34, Cobalt Gypsy, Hazel Sandstorm и Helix Kitten, представляет собой иранскую группу продвинутых постоянных угроз (APT), которая специализируется на проведении тайных операций по сбору разведывательной информации для проникновения и поддержания доступа в целевые сети. Недавние исследования NSFOCUS выявили фишинговую атаку OilRig, которая привела к развертыванию нового варианта вредоносного ПО SideTwist, что указывает на продолжающиеся усилия по его разработке.

В самой последней цепочке заражения, задокументированной исследователями, документ-приманка используется для создания запланированной задачи для сохранения и удаления исполняемого файла («Menorah.exe»). Этот исполняемый файл устанавливает контакт с удаленным сервером и ожидает дальнейших инструкций, хотя сервер управления и контроля в настоящее время неактивен. Это вредоносное ПО для .NET представляет собой расширенную версию оригинального имплантата SideTwist на базе C, обнаруженного Check Point в 2021 году. Оно оснащено различными функциями, такими как снятие отпечатков хоста, составление списка файлов, загрузка файлов из взломанной системы, выполнение команд оболочки и загрузка файла в зараженную систему.

Что такое OilRig APT?

OilRig Advanced Persistent Threat (APT) — это группа кибершпионажа, предположительно поддерживаемая правительством Ирана. OilRig, также известная под разными названиями, включая APT34, Cobalt Gypsy, Hazel Sandstorm и Helix Kitten, активна как минимум с 2014 года. Вот некоторые ключевые характеристики и виды деятельности, связанные с OilRig APT:

• Иранская версия: OilRig широко распространено мнение, что это спонсируемая государством хакерская группа, базирующаяся в Иране. Хотя правительство Ирана официально не подтвердило свою причастность, эксперты и исследователи по кибербезопасности связывают группу с Ираном на основе различных технических и контекстуальных показателей.
• Кибершпионаж: OilRig в первую очередь занимается операциями по кибершпионажу. Их основная цель — сбор разведывательной и конфиденциальной информации от целевых организаций, включая правительственные учреждения, предприятия и секторы критически важной инфраструктуры.
• Целевой фишинг: OilRig известна тем, что использует кампании целевого фишинга. Они создают убедительные и целевые фишинговые электронные письма, чтобы заставить сотрудников организаций открыть вредоносные вложения или перейти по вредоносным ссылкам. Как только жертва скомпрометирована, группа закрепляется в целевой сети.
• Специальное вредоносное ПО: OilRig разрабатывает и использует специальное вредоносное ПО, адаптированное к конкретным целям. Это вредоносное ПО включает в себя различные инструменты удаленного доступа и бэкдоры, позволяющие группе сохранять постоянство и контроль над скомпрометированными системами.
• Целевые отрасли: OilRig проявила интерес к ряду секторов, включая энергетику, телекоммуникации, государственные и финансовые организации. Их выбор целей предполагает сосредоточение внимания на критической инфраструктуре и ценной интеллектуальной собственности.