Menorah Malware

「OilRig」という別名で追跡されているイランとつながりのある高度なサイバー犯罪工作員が、Menorahとして知られる脅威ソフトウェアの新たな亜種を展開する標的型スピアフィッシング作戦を実行している。この特定のマルウェアは、サイバースパイ活動を明確な目的として作成されました。侵害されたコンピュータの仕様を確認し、そのシステムからファイルにアクセスして送信し、追加のファイルやマルウェアをダウンロードする機能を誇ります。

現時点では、犠牲者の正確な人口統計は不明のままだ。それにもかかわらず、欺瞞的な戦術の存在は、主な標的の少なくとも 1 つがサウジアラビア国境内にある組織からのものであることを強く示唆しています。

Menorah マルウェアは Lure ドキュメント経由で配信される

OilRig フィッシング攻撃により、SideTwist マルウェアの更新された亜種が展開され、開発作業が継続していることが示唆されます。最近の一連の感染では、おとりドキュメントが使用され、長期持続するスケジュールされたタスクが作成され、同時に「Menorah.exe」という名前の実行可能ファイルが投下されます。次に、この実行可能ファイルはリモート サーバーとの通信を確立し、さらなる指示を待ちます。コマンド アンド コントロール サーバーが現在非アクティブであることに注意してください。

APT34 、Cobalt Gypsy、Hazel Sandstorm、Helix Kitten などの別名でも知られる OilRig は、秘密の情報収集活動に特化したイランの高度持続的脅威 (APT) エンティティとして、指定されたネットワーク内に細心の注意を払って侵入し、アクセスを維持します。

Menorah マルウェアに関する重要な詳細は、別のマルウェア脅威との類似点を示しています

.NET で書かれ、脅迫文書を通じて配信されるこのマルウェアは、主にサイバースパイ活動を目的としており、幅広い機能を誇ります。この危険なソフトウェアは、標的のコンピュータの特定の特性を識別し、ディレクトリとファイルを一覧表示し、侵害されたシステムからファイルを選択的にアップロードし、シェル コマンドを実行し、侵害されたマシンにファイルをダウンロードすることができます。

SideTwist マルウェアと Menorah を比較する徹底的な分析を行った結果、研究者らは、特に機能の点で 2 つのマルウェアに大きな類似点があることを認識しました。これらのマルウェアの亜種は、シェル コマンドを実行し、ファイルのアップロードとダウンロードを容易にするための同様のバックドア機能を示します。

ただし、以前のバージョンの SideTwist とは対照的に、この新しい脅威には、コマンド アンド コントロール (C&C) サーバーへのトラフィックを難読化する追加機能が組み込まれており、検出を回避するためのステルス性が強化されています。最初に、マルウェアは実行中に特定の引数をチェックして、適切な実行フローを確認します。指定された引数がない場合、マルウェアは終了し、動作を停止します。この定期的なチェックは、マルウェアの秘密の動作を維持し、マルウェアがサンドボックスなどの分析環境内で動作しているかどうかを識別するために役立ちます。引数がサンドボックス内で実行されていることを示している場合、マルウェアは引数なしで続行しますが、最終的には自己終了します。

その後、マルウェアはマシン名やユーザー名などの情報を収集することにより、感染したマシンのフィンガープリントを採取します。このフィンガープリントは、HTTP リクエスト内のコンテンツの形式で C&C サーバーに送信されます。