Menorah Malware anställd av iranska APT

Iranskt sponsrade cyberaktörer kända som OilRig har varit knutna till en spjutfiskekampanj som infekterar offer med en ny typ av skadlig programvara som heter Menorah. Enligt en rapport från säkerhetsforskare är denna skadliga programvara designad för cyberspionage, med förmågan att identifiera och läsa filer på en målmaskin, samt ladda upp och ladda ner filer. Även om de exakta målen för dessa attacker ännu inte är kända, tyder användningen av lockbete på att åtminstone en av dem är en organisation i Saudiarabien.

OilRig, även känd som APT34, Cobalt Gypsy, Hazel Sandstorm och Helix Kitten, är en iransk grupp för avancerade persistent hot (APT) som är specialiserade på att genomföra hemliga underrättelseinsamlingsoperationer för att infiltrera och upprätthålla åtkomst inom riktade nätverk. Nya fynd av NSFOCUS avslöjade en OilRig-nätfiskeattack som ledde till utplaceringen av en ny variant av SideTwist malware, vilket indikerar pågående utvecklingsinsatser.

I den senaste infektionskedjan som dokumenterats av forskare används ett lockdokument för att skapa en schemalagd uppgift för persistens och släppa en körbar fil ("Menorah.exe"). Den här körbara filen upprättar kontakt med en fjärrserver för att invänta ytterligare instruktioner, även om kommando-och-kontrollservern för närvarande är inaktiv. Denna .NET-skadliga programvara är en förbättrad version av det ursprungliga C-baserade SideTwist-implantatet som upptäcktes av Check Point 2021. Den är utrustad med olika funktioner, såsom värdfingeravtryck, fillista, filuppladdning från det komprometterade systemet, exekvering av skalkommandon och fil nedladdning till det infekterade systemet.

Vem är OilRig APT?

OilRig Advanced Persistent Threat (APT) är en cyberspionagegrupp som tros stödjas av den iranska regeringen. OilRig är också känd under flera andra namn, inklusive APT34, Cobalt Gypsy, Hazel Sandstorm och Helix Kitten, och har varit aktiv sedan åtminstone 2014. Här är några viktiga egenskaper och aktiviteter som är associerade med OilRig APT:

• Iransk tillskrivning: OilRig tros allmänt vara en statligt sponsrad hackargrupp baserad i Iran. Medan den iranska regeringen inte officiellt har bekräftat sin inblandning, har experter och forskare inom cybersäkerhet kopplat gruppen till Iran baserat på olika tekniska och kontextuella indikatorer.
• Cyberspionage: OilRig fokuserar främst på cyberspionage. Deras huvudsakliga mål är att samla in intelligens och känslig information från riktade organisationer, inklusive statliga myndigheter, företag och kritiska infrastruktursektorer.
• Spear Phishing: OilRig är känt för sin användning av spear-phishing-kampanjer. De skapar övertygande och riktade nätfiske-e-postmeddelanden för att lura individer inom organisationer att öppna skadliga bilagor eller klicka på skadliga länkar. När ett offer väl har äventyrats får gruppen fotfäste inom målnätverket.
• Anpassad skadlig programvara: OilRig utvecklar och använder anpassad skadlig programvara skräddarsydd för deras specifika mål. Denna skadliga programvara inkluderar olika verktyg för fjärråtkomst och bakdörrar, vilket gör det möjligt för gruppen att behålla uthållighet och kontroll över komprometterade system.
• Riktade industrier: OilRig har visat intresse för en rad olika sektorer, inklusive energi, telekommunikation, myndigheter och finansiella organisationer. Deras val av mål antyder fokus på kritisk infrastruktur och värdefull immateriell egendom.