Menorah: новый вирус, ворующий данные Ближнего Востока

Согласно отчету Trend Micro, иранская хакерская группа OilRig (APT34, Cobalt Gypsy, Hazel Sandstorm, Helix Kitten), начала новую операцию по кибершпионажу, в рамках которой заражает жертв ранее не задокументированным вредоносным ПО Menorah.

Исследователи сообщили, что Menorah разработано для кибершпионажа и способно определять машину, читать и загружать файлы с машины, а также загружать другой файл или вредоносное ПО. Не сразу стало ясно, кто стал жертвой атаки, но использование ложных целей указывает на то, что по крайней мере одна из целей — это организация, расположенная в Саудовской Аравии.

В ходе кампании используется рассылка фишинговых писем, которые содержат документ-приманку для создания запланированной задачи, обеспечивающей постоянство, и для размещения исполняемого файла Menorah, который, в свою очередь, устанавливает связь с удаленным сервером ( C2-сервер ) для получения дальнейших инструкций. В настоящее время сервер управления и контроля неактивен.

Menorah, являющееся улучшенной версией оригинального вредоносного ПО на C SideTwist , обнаруженного компанией Check Point в 2021 году, оснащено различными функциями для сбора данных о целевом хосте, перечисления директорий и файлов, загрузки выбранных файлов с зараженной системы, выполнения команд оболочки и загрузки файлов на систему.

Исследователи подчеркнули, что группа OilRig постоянно разрабатывает и улучшает инструменты, стремясь уменьшить вероятность обнаружения со стороны средств безопасности и исследователей.