Իրանի կողմից հովանավորվող OilRig հաքերներին վերագրվել է spear-phishing-ային վերջին արշավը, որը թիրախային օգտատերերի համակարգերը վարակում է Menorah կոչվող malware-ով:
Հարձակումների թիրախային շրջանակը դեռևս լիարժեքորեն բացահայտված չէ, միայն հայտնի է, որ թիրախային ընկերություններից մեկը տեղակայված է Սաուդյան Արաբիայում:
Հաքերների խումբը միջազգային ասպարեզին ներկայանում է նաև՝ APT34, Cobalt Gypsy, Hazel Sandstorm և Helix Kitten անուններով: OilRig-ը իրանական առաջադեմ հաքերների հանցախումբ է (APT), որը մասնագիտացած է հատկապես գաղտնի հետախուզական գործողություններում: Հարձակումների բուն նպատակը թիրախային ցանցեր ներթափանցելն ու կոնֆիդենցիալ տվյալներ հավաքագրելն է:
Վերլուծությունները հիմնված են NSFOCUS-ի վերջին բացահայտումների վրա, որը լուսաբանում է OilRig-ի ֆիշինգային հարձակումը, որի արդյունքում իրականացվեց SideTwist malware-ի նոր տարբերակի տեղակայումը:
Trend Micro-ի կողմից փաստագրված փաստաթուղթն օգտագործվում է “Menorah.exe”-ի scheduled task-եր ստեղծելու և գործարկելու նպատակով, որն իր հերթին կապ է հաստատում remote սերվերի հետ՝ հետագա առաջադրանքները ստանալու և կատարելու համար: Command-and-control սերվերը ներկա պահին ակտիվ չէ:
.NET malware-ը C-based SideTwist implant-ի բարելավված տարբերակն է, որը հայտնաբերվել է Check Point-ի կողմից դեռևս 2021 թվականին: Այն զինված է տարբեր գործառույթներով. targeted host-ից թիրախավորված հոսթին՝ fingerprint-ի, դիրեկտորիաների և ֆայլերի ցանկին, վտանգված համակարգից ընտրված ֆայլերին, shell command-երին հասանելիություն տալու համար:
«APT34-ը ցույց է տալիս իր հսկայական ռեսուրսների պաշարը և ֆունկցիոնալ բազմազան հնարավորությունները, որոնք ադապտացնում են տեխնիկական ռեսուրսները՝ թիրախային կազմակերպություններում հարձակումներ գործելու և կիբեր լրտեսություն իրականացնելու համար»:
Աղբյուրը՝ https://thehackernews.com/
