分析总结
源自伊朗的高级网络威胁组织 OilRig(又名 APT34、Helix Kitten、Cobalt Gypsy 和 Hazel Sandstorm)与最新的 Menorah 恶意软件有关联,该恶意软件通过鱼叉式网络钓鱼进行分发。
研究人员报告说:“该恶意软件是为网络间谍活动而设计的,能够识别机器、从机器读取和上传文件,以及下载另一个文件或恶意软件。”
OilRig 是伊朗国家支持的高级持续威胁 (APT) 组织,专门从事网络间谍活动以收集情报,以渗透并维持受害者网络的长期访问。
这一发现建立在网络安全专家最近的发现之上,该发现揭示了 OilRig 网络钓鱼攻击导致了 SideTwist 恶意软件新变种的部署,表明正在进行的开发工作。
在研究人员详细描述的最新感染链中,诱饵文档用于创建持久性计划任务并删除名为“Menorah.exe”的可执行文件。尽管命令和控制服务器当前处于非活动状态,但该可执行文件会与远程服务器建立联系以等待进一步的指令。
Menorah 是一种基于 .NET 的恶意软件,是原始基于 C 的 SideTwist 植入程序的改进版本。它配备了各种功能,包括对目标主机进行指纹识别、列出目录和文件、从受感染系统上传选定文件、执行 shell 命令以及将文件下载到受感染系统的能力。
研究人员指出,OilRig 不断开发和增强其工具,目的是逃避安全解决方案和研究人员的检测。他们还强调,APT34 展示了高水平的资源和多样化的技能,这使得他们有可能继续为特定目标组织定制战术、例程和社会工程技术,以确保成功入侵、保持隐秘性和进行网络间谍活动。
“APT34 是典型的 APT 组织,展示了其丰富的资源和多样化的技能,并且可能会坚持定制例行程序和社会工程技术以供每个目标组织使用,以确保入侵、秘密行动和网络间谍活动取得成功。SideTwist 的早期变体是用 C 编写的,而这个最新变体具有一组非常相似的功能,但采用 .NET 实现”,他们总结道
影响
间谍
敏感信息盗窃
IOC
网址
http://tecforsc-001-site1.gtempurl.com/ads.asp
MD5
64f8dfd92eb972483feaf3137ec06d3c
868da692036e86a2dc87ca551ad61dd5
SHA-256
8a8a7a506fd57bde314ce6154f2484f280049f2bda504d43704b9ad412d5d618
64156f9ca51951a9bf91b5b74073d31c16873ca60492c25895c1f0f074787345
SHA-1
3d71d782b95f13ee69e96bcf73ee279a00eae5db
c9d18d01e1ec96be952a9d7bd78f6bbb4dd2aa2a
转载来源:https://www.rewterz.com/rewterz-news/rewterz-threat-alert-new-menorah-malware-distributed-by-iran-backed-apt-group-oilrig-active-iocs/
图片来源网络侵权可联系删除