Menorah: новый вирус, ворующий данные Ближнего Востока
Иранские хакеры улучшают инструменты шпионажа для сбора разведданных региона.
Согласно отчету Trend Micro, иранская хакерская группа OilRig (APT34, Cobalt Gypsy, Hazel Sandstorm, Helix Kitten), начала новую операцию по кибершпионажу, в рамках которой заражает жертв ранее не задокументированным вредоносным ПО Menorah.
Исследователи сообщили, что Menorah разработано для кибершпионажа и способно определять машину, читать и загружать файлы с машины, а также загружать другой файл или вредоносное ПО. Не сразу стало ясно, кто стал жертвой атаки, но использование ложных целей указывает на то, что по крайней мере одна из целей — это организация, расположенная в Саудовской Аравии.
В ходе кампании используется рассылка фишинговых писем, которые содержат документ-приманку для создания запланированной задачи, обеспечивающей постоянство, и для размещения исполняемого файла Menorah, который, в свою очередь, устанавливает связь с удаленным сервером (C2-сервер) для получения дальнейших инструкций. В настоящее время сервер управления и контроля неактивен.
Menorah, являющееся улучшенной версией оригинального вредоносного ПО на C SideTwist , обнаруженного компанией Check Point в 2021 году, оснащено различными функциями для сбора данных о целевом хосте, перечисления директорий и файлов, загрузки выбранных файлов с зараженной системы, выполнения команд оболочки и загрузки файлов на систему.
Исследователи подчеркнули, что группа OilRig постоянно разрабатывает и улучшает инструменты, стремясь уменьшить вероятность обнаружения со стороны средств безопасности и исследователей.
Устали от того, что Интернет знает о вас все?