Οι hackers OilRig που υποστηρίζονται από την κυβέρνηση του Ιράν, έχουν συνδεθεί με μια εκστρατεία spear-phishing που μολύνει τα θύματα με ένα νέο είδος κακόβουλου λογισμικού που ονομάζεται Menorah.
“Το κακόβουλο λογισμικό σχεδιάστηκε για κατασκοπεία στον κυβερνοχώρο, ικανό να αναγνωρίζει το μηχάνημα, να διαβάζει και να ανεβάζει αρχεία από το μηχάνημα και να κατεβάζει άλλο αρχείο ή κακόβουλο λογισμικό“, δήλωσαν οι ερευνητές της Trend Micro, Mohamed Fahmy και Mahmoud Zohdy σε μια νέα έκθεσή τους.
Δείτε επίσης: LostTrust ransomware: Rebrand του MetaEncryptor;
Προς το παρόν, δεν γνωρίζουμε ακριβώς τους στόχους της ομάδας, αλλά με βάση τα δολώματα που έχουν χρησιμοποιηθεί, τουλάχιστον ένας από τους στόχους είναι ένας οργανισμός που βρίσκεται στη Σαουδική Αραβία.
Οι hackers OilRig, που είναι επίσης γνωστοί ως APT34, Cobalt Gypsy, Hazel Sandstorm και Helix Kitten, συνδέονται με την κυβέρνηση του Ιράν και ειδικεύονται σε μυστικές επιχειρήσεις συλλογής πληροφοριών, διεισδύοντας και διατηρώντας πρόσβαση σε στοχευμένα δίκτυα.
Η πρόσφατη spear-phishing εκστρατεία της ομάδας OilRig ανακαλύφθηκε από την NSFOCUS. Οι ερευνητές εντόπισαν την ανάπτυξη μιας νέας παραλλαγής του κακόβουλου λογισμικού SideTwist.
Δείτε επίσης: Οι χάκερ Lazarus παραβιάζουν την αεροδιαστημική εταιρεία με το νέο LightlessCan malware
Στην τελευταία αλυσίδα μόλυνσης της ομάδας OilRig, σύμφωνα και με τη Trend Micro, το έγγραφο δέλεαρ χρησιμοποιείται για τη δημιουργία ενός scheduled task για persistence, καθώς και για την εγκατάσταση ενός εκτελέσιμου αρχείου (“Menorah.exe”) που, από την πλευρά του, δημιουργεί επαφή με έναν απομακρυσμένο διακομιστή για αναμονή περαιτέρω οδηγιών. Ο command-and-control server είναι αυτήν τη στιγμή ανενεργός.
Το κακόβουλο λογισμικό .NET αποτελεί μια βελτιωμένη έκδοση του αρχικού C-based SideTwist implant που ανακαλύφθηκε από την Check Point το 2021. Το νέο malware διαθέτει διάφορες δυνατότητες, όπως μεταφόρτωση επιλεγμένων αρχείων από το παραβιασμένο σύστημα, εκτέλεση εντολών, λήψη αρχείων στο σύστημα και πολλά άλλα.
Οι ερευνητές αναφέρουν ότι οι Ιρανοί hackers OilRig αναπτύσσουν συνεχώς νέα εργαλεία με τέτοιο τρόπο ώστε να αποφεύγουν τον εντοπισμό από τις λύσεις ασφαλείας και τους ερευνητές.
“Τυπικό για τις ομάδες APT, η APT34 (OilRig) επιδεικνύει τους τεράστιους πόρους και τις ποικίλες δεξιότητές της και πιθανότατα θα συνεχίσει να προσαρμόζει τις ρουτίνες και τις τεχνικές social engineering ανά στοχευμένο οργανισμό για να εξασφαλίσει επιτυχία σε εισβολές και να συνεχίσει κατασκοπεία στον κυβερνοχώρο“.
Δείτε επίσης: Zanubis: Το Android banking trojan γίνεται ακόμα πιο επικίνδυνο
Οι APT (Advanced Persistent Threat) hackers, όπως οι OilRig, αποτελούν μία από τις πιο επικίνδυνες απειλές στον κυβερνοχώρο. Με πληθώρα τακτικών και τεχνικών, αυτοί οι επαγγελματίες εισβολείς προσανατολίζονται προς την παραβίαση συστημάτων και την κλοπή απόρρητων πληροφοριών. Η τεχνογνωσία και η επιμονή τους τους επιτρέπουν να παραμένουν ανεντόπιστοι για παρατεταμένα χρονικά διαστήματα, επιτρέποντάς τους να προκαλούν ολοένα και μεγαλύτερη ζημιά. Παρά την συνεχή προσπάθεια της κοινότητας ασφάλειας για την ανάπτυξη αποτελεσματικών λύσεων για την αντιμετώπιση αυτών των απειλών, οι APT hackers συνεχίζουν να αποτελούν ένα πρωταρχικό πρόβλημα για την κυβερνοασφάλεια σε παγκόσμιο επίπεδο.
Πηγή: thehackernews.com
