伊朗 APT 使用的 Menorah 恶意软件

伊朗资助的名为 OilRig 的网络攻击者与鱼叉式网络钓鱼活动有关，该活动用一种名为 Menorah 的新型恶意软件感染受害者。根据安全研究人员的报告，该恶意软件专为网络间谍活动而设计，能够识别和读取目标计算机上的文件，以及上传和下载文件。虽然这些攻击的确切目标尚不清楚，但诱饵的使用表明其中至少有一个是位于沙特阿拉伯的组织。

OilRig，也称为 APT34、Cobalt Gypsy、Hazel Sandstorm 和 Helix Kitten，是伊朗的一个高级持续威胁 (APT) 组织，专门从事秘密情报收集行动，以渗透并维持对目标网络的访问。绿盟科技最近的调查结果显示，OilRig 网络钓鱼攻击导致了 SideTwist 恶意软件新变种的部署，这表明开发工作正在进行中。

在研究人员记录的最新感染链中，诱饵文档用于创建持久性计划任务并删除可执行文件（“Menorah.exe”）。尽管命令和控制服务器当前处于非活动状态，但该可执行文件会与远程服务器建立联系以等待进一步的指令。该 .NET 恶意软件是 Check Point 于 2021 年发现的原始基于 C 的 SideTwist 植入程序的增强版本。它配备了各种功能，例如主机指纹识别、文件列表、从受感染系统上传文件、shell 命令执行和文件下载到受感染的系统。

OilRig APT 是谁？

OilRig 高级持续威胁 (APT) 是一个网络间谍组织，据信得到伊朗政府的支持。 OilRig 还被称为各种其他名称，包括 APT34、Cobalt Gypsy、Hazel Sandstorm 和 Helix Kitten，OilRig 至少自 2014 年以来一直很活跃。以下是与 OilRig APT 相关的一些关键特征和活动：

• 伊朗归因：人们普遍认为 OilRig 是一个总部位于伊朗、受国家支持的黑客组织。虽然伊朗政府尚未正式确认其参与，但网络安全专家和研究人员根据各种技术和背景指标将该组织与伊朗联系起来。
• 网络间谍活动：OilRig 主要专注于网络间谍活动。他们的主要目标是从目标组织（包括政府机构、企业和关键基础设施部门）收集情报和敏感信息。
• 鱼叉式网络钓鱼：OilRig 因其使用鱼叉式网络钓鱼活动而闻名。他们精心制作令人信服且有针对性的网络钓鱼电子邮件，以诱骗组织内的个人打开恶意附件或单击恶意链接。一旦受害者受到威胁，该组织就会在目标网络中获得立足点。
• 自定义恶意软件：OilRig 开发并使用针对其特定目标量身定制的自定义恶意软件。该恶意软件包括各种远程访问工具和后门，使该组织能够保持对受感染系统的持久性和控制。
• 目标行业：OilRig 对一系列行业表现出了兴趣，包括能源、电信、政府和金融组织。他们选择的目标表明重点关注关键基础设施和宝贵的知识产权。