Согласно отчетуTrend Micro, иранская хакерская группа OilRig (APT34, Cobalt Gypsy, Hazel Sandstorm, Helix Kitten), начала новую операцию по кибершпионажу, в рамках которой заражает жертв ранее не задокументированным вредоносным ПО Menorah.
Исследователи сообщили, что Menorah разработано для кибершпионажа и способно определять машину, читать и загружать файлы с машины, а также загружать другой файл или вредоносное ПО. Не сразу стало ясно, кто стал жертвой атаки, но использование ложных целей указывает на то, что по крайней мере одна из целей – это организация, расположенная в Саудовской Аравии.
В ходе кампании используется рассылка фишинговых писем, которые содержат документ-приманку для создания запланированной задачи, обеспечивающей постоянство, и для размещения исполняемого файла Menorah, который, в свою очередь, устанавливает связь с удаленным сервером (C2-сервер) для получения дальнейших инструкций. В настоящее время сервер управления и контроля неактивен.
Menorah, являющееся улучшенной версией оригинального вредоносного ПО на C SideTwist , обнаруженного компанией Check Point в 2021 году, оснащено различными функциями для сбора данных о целевом хосте, перечисления директорий и файлов, загрузки выбранных файлов с зараженной системы, выполнения команд оболочки и загрузки файлов на систему.
Исследователи подчеркнули, что группа OilRig постоянно разрабатывает и улучшает инструменты, стремясь уменьшить вероятность обнаружения со стороны средств безопасности и исследователей.