伊朗 APT 使用的 Menorah 惡意軟體

伊朗資助的名為 OilRig 的網路攻擊者與魚叉式網路釣魚活動有關，該活動用一種名為 Menorah 的新型惡意軟體感染受害者。根據安全研究人員的報告，該惡意軟體專為網路間諜活動而設計，能夠識別和讀取目標電腦上的文件，以及上傳和下載文件。雖然這些攻擊的確切目標尚不清楚，但誘餌的使用表明其中至少有一個是位於沙烏地阿拉伯的組織。

OilRig，也稱為 APT34、Cobalt Gypsy、Hazel Sandstorm 和 Helix Kitten，是伊朗的一個高級持續威脅 (APT) 組織，專門從事秘密情報收集行動，以滲透並維持對目標網路的存取。綠盟科技最近的調查結果顯示，OilRig 網路釣魚攻擊導致了 SideTwist 惡意軟體新變種的部署，這表明開發工作正在進行中。

在研究人員記錄的最新感染鏈中，誘餌文件用於建立持久性計劃任務並刪除可執行檔（「Menorah.exe」）。儘管命令和控制伺服器目前處於非活動狀態，但該可執行檔會與遠端伺服器建立聯繫以等待進一步的指令。該.NET 惡意軟體是Check Point 於2021 年發現的原始基於C 的SideTwist 植入程式的增強版本。它配備了各種功能，例如主機指紋識別、檔案清單、從受感染系統上傳檔案、shell 命令執行和文件下載到受感染的系統。

OilRig APT 是誰？

OilRig 高級持續性威脅 (APT) 是一個網路間諜組織，據信得到伊朗政府的支持。 OilRig 也被稱為各種其他名稱，包括 APT34、Cobalt Gypsy、Hazel Sandstorm 和 Helix Kitten，OilRig 至少自 2014 年以來一直很活躍。以下是與 OilRig APT 相關的一些關鍵特徵和活動：

• 伊朗歸因：人們普遍認為 OilRig 是一個總部位於伊朗、受國家支持的駭客組織。雖然伊朗政府尚未正式確認其參與，但網路安全專家和研究人員根據各種技術和背景指標將該組織與伊朗聯繫起來。
• 網路間諜活動：OilRig 主要專注於網路間諜活動。他們的主要目標是從目標組織（包括政府機構、企業和關鍵基礎設施部門）收集情報和敏感資訊。
• 魚叉式網路釣魚：OilRig 因其使用魚叉式網路釣魚活動而聞名。他們精心製作令人信服且有針對性的網路釣魚電子郵件，以誘騙組織內的個人開啟惡意附件或點擊惡意連結。一旦受害者受到威脅，該組織就會在目標網路中獲得立足點。
• 自訂惡意軟體：OilRig 開發並使用針對其特定目標量身定制的自訂惡意軟體。該惡意軟體包括各種遠端存取工具和後門，使該組織能夠保持對受感染系統的持久性和控制。
• 目標產業：OilRig 對一系列產業表現出了興趣，包括能源、電信、政府和金融組織。他們選擇的目標表明重點關注關鍵基礎設施和寶貴的知識產權。