Menorah Malware

Des agents de cybercriminalité avancés ayant des liens avec l'Iran, traqués sous le pseudonyme « OilRig », ont mené une opération de spear phishing ciblée qui déploie une nouvelle variante d'un logiciel menaçant connu sous le nom de Menorah. Ce malware particulier a été conçu dans le but explicite de cyberespionnage. Il a la capacité de vérifier les spécifications d'un ordinateur compromis, d'accéder et de transmettre des fichiers à partir dudit système et de télécharger des fichiers supplémentaires ou des logiciels malveillants.

Le profil démographique précis des victimes reste incertain à ce stade. Néanmoins, la présence de tactiques trompeuses suggère fortement qu’au moins l’une des principales cibles appartient à une organisation située à l’intérieur des frontières de l’Arabie Saoudite.

Le logiciel malveillant Menorah est livré via des documents Lure

L'attaque de phishing OilRig entraîne le déploiement d'une variante mise à jour du malware SideTwist, ce qui implique des efforts de développement continus. Dans la séquence d'infections la plus récente, un document appât est utilisé pour créer une tâche planifiée pour une persistance à long terme tout en supprimant simultanément un fichier exécutable nommé « Menorah.exe ». Cet exécutable établit à son tour une communication avec un serveur distant, en attente de directives supplémentaires. Il convient de noter que le serveur de commande et de contrôle est actuellement inactif.

Également connue sous des pseudonymes tels que APT34 , Cobalt Gypsy, Hazel Sandstorm et Helix Kitten, OilRig se présente comme une entité iranienne de menace persistante avancée (APT) spécialisée dans les efforts clandestins de collecte de renseignements, infiltrant méticuleusement et maintenant l'accès au sein des réseaux désignés.

Des détails importants sur le logiciel malveillant Menorah montrent ses similitudes avec une autre menace de logiciel malveillant

Le malware, écrit en .NET et diffusé via le document menaçant, sert principalement à du cyberespionnage et possède un large éventail de fonctionnalités. Ce logiciel dangereux est capable d'identifier les caractéristiques spécifiques de l'ordinateur ciblé, de répertorier les répertoires et les fichiers, de télécharger sélectivement des fichiers à partir du système compromis, d'exécuter des commandes shell et de télécharger des fichiers sur la machine compromise.

Après avoir effectué une analyse approfondie comparant le malware SideTwist et Menorah, les chercheurs ont discerné des ressemblances substantielles entre les deux, notamment en termes de fonctionnalités. Ces variantes de logiciels malveillants présentent des fonctionnalités de porte dérobée similaires pour exécuter des commandes shell et faciliter les téléchargements et les téléchargements de fichiers.

Cependant, contrairement à la version précédente de SideTwist, cette nouvelle menace intègre des fonctionnalités supplémentaires pour masquer le trafic vers le serveur de commande et de contrôle (C&C), améliorant ainsi sa furtivité pour échapper à la détection. Initialement, le malware recherche un argument spécifique lors de l'exécution pour garantir le bon déroulement de l'exécution. En l'absence de l'argument spécifié, le malware se terminera, interrompant ainsi ses opérations. Cette vérification de routine sert à maintenir le comportement secret du logiciel malveillant et à déterminer s'il fonctionne dans un environnement analytique, tel qu'un bac à sable. Si l'argument indique qu'il s'exécute dans un bac à sable, le logiciel malveillant se poursuivra sans l'argument mais s'arrêtera finalement de lui-même.

Par la suite, le logiciel malveillant procède à l'empreinte digitale de la machine infectée en collectant des informations telles que le nom de la machine et le nom d'utilisateur. Cette empreinte est ensuite transmise au serveur C&C sous forme de contenu au sein d'une requête HTTP.