Menorah Malware

Fortgeschrittene Cyberkriminelle mit Verbindungen zum Iran, die unter dem Pseudonym „OilRig“ verfolgt werden, haben eine gezielte Spear-Phishing-Operation durchgeführt, bei der eine neue Variante einer bedrohlichen Software namens Menorah eingesetzt wird. Diese spezielle Malware wurde explizit für den Zweck der Cyberspionage entwickelt. Es verfügt über die Fähigkeit, die Spezifikationen eines kompromittierten Computers zu ermitteln, auf Dateien von diesem System zuzugreifen und diese zu übertragen sowie zusätzliche Dateien oder Malware herunterzuladen.

Die genaue Bevölkerungsgruppe der Opfer bleibt zum jetzigen Zeitpunkt ungewiss. Dennoch deutet das Vorhandensein betrügerischer Taktiken stark darauf hin, dass mindestens eines der Hauptziele von einer Organisation stammt, die innerhalb der Grenzen Saudi-Arabiens ansässig ist.

Die Menorah-Malware wird über Lure Documents verbreitet

Der OilRig-Phishing-Angriff führt zur Bereitstellung einer aktualisierten Variante der SideTwist-Malware, was fortlaufende Entwicklungsbemühungen erfordert. Bei der jüngsten Infektionssequenz wird ein Köderdokument verwendet, um eine geplante Aufgabe für eine langfristige Persistenz zu erstellen und gleichzeitig eine ausführbare Datei namens „Menorah.exe“ zu löschen. Diese ausführbare Datei wiederum stellt die Kommunikation mit einem Remote-Server her und wartet auf weitere Anweisungen. Es ist erwähnenswert, dass der Command-and-Control-Server derzeit inaktiv ist.

OilRig, auch bekannt unter Pseudonymen wie APT34 , Cobalt Gypsy, Hazel Sandstorm und Helix Kitten, ist eine iranische Advanced Persistent Threat (APT)-Entität mit einem besonderen Schwerpunkt auf geheimen Geheimdienstbemühungen, bei denen der Zugang zu bestimmten Netzwerken akribisch infiltriert und aufrechterhalten wird.

Wichtige Details zur Menorah-Malware zeigen Ähnlichkeiten mit einer anderen Malware-Bedrohung

Die in .NET geschriebene und über das Drohdokument übermittelte Schadsoftware dient in erster Linie der Cyberspionage und verfügt über ein breites Spektrum an Fähigkeiten. Diese unsichere Software ist in der Lage, die spezifischen Merkmale des Zielcomputers zu identifizieren, Verzeichnisse und Dateien aufzulisten, selektiv Dateien vom kompromittierten System hochzuladen, Shell-Befehle auszuführen und Dateien auf den kompromittierten Computer herunterzuladen.

Bei einer gründlichen Analyse des Vergleichs der SideTwist-Malware mit Menorah haben Forscher erhebliche Ähnlichkeiten zwischen den beiden festgestellt, insbesondere im Hinblick auf die Funktionalität. Diese Malware-Varianten verfügen über ähnliche Backdoor-Funktionen zur Ausführung von Shell-Befehlen und zur Erleichterung des Hoch- und Herunterladens von Dateien.

Im Gegensatz zur früheren Version von SideTwist verfügt diese neue Bedrohung jedoch über zusätzliche Funktionen, um den Datenverkehr zum Command-and-Control-Server (C&C) zu verschleiern und so ihre Tarnung zu verbessern, um einer Erkennung zu entgehen. Zunächst prüft die Malware während der Ausführung, ob ein bestimmtes Argument vorhanden ist, um den ordnungsgemäßen Ausführungsablauf sicherzustellen. Fehlt das angegebene Argument, wird die Malware beendet und ihr Betrieb gestoppt. Diese Routineprüfung dient dazu, das verdeckte Verhalten der Malware aufrechtzuerhalten und festzustellen, ob sie in einer Analyseumgebung, beispielsweise einer Sandbox, agiert. Wenn das Argument darauf hinweist, dass es in einer Sandbox ausgeführt wird, wird die Malware ohne das Argument fortfahren, sich aber letztendlich selbst beenden.

Anschließend erfasst die Malware einen Fingerabdruck des infizierten Computers, indem sie Informationen wie den Computernamen und den Benutzernamen sammelt. Dieser Fingerabdruck wird dann in Form eines Inhalts innerhalb einer HTTP-Anfrage an den C&C-Server übermittelt.