OilRig olarak bilinen İran tarafından desteklenen gelişmiş siber aktörler, kurbanlara Menorah adı verilen yeni bir kötü amaçlı yazılım türü bulaştıran bir hedef odaklı kimlik avı saldırısı geliştirdi.
Trend Micro araştırmacıları Mohamed Fahmy ve Mahmoud Zohdy tarafından Cuma günü yayımlanan bir rapora göre, “Zararlı yazılım, siber casusluk için tasarlanmış olup, makineyi tanıma, makineden dosyaları okuma ve yükleme yeteneğine sahiptir ve başka bir dosya veya zararlı yazılımı indirme yeteneği bulunmaktadır.”
Saldırıların hedef kitlesi hemen bilinmemekle birlikte, sahte hedeflerin kullanımı en azından hedeflerden birinin Suudi Arabistan’da bulunan bir organizasyon olduğunu göstermektedir. OilRig adıyla da bilinen APT34, Cobalt Gypsy, Hazel Sandstorm ve Helix Kitten gibi isimlerle izlenen bir İranlı gelişmiş sürekli tehdit (APT) grubudur ve özellikle gizli istihbarat toplama operasyonlarına odaklanarak hedeflenen ağlara sızmak ve erişimi sürdürmektedir.
Bu açığa çıkarma, sürekli gelişim altında olduğunu gösteren yeni bir SideTwist zararlı yazılımının bir türevinin dağıtılmasına neden olan bir OilRig phishing saldırısını ortaya çıkaran NSFOCUS’un son bulgularına dayanmaktadır.
Trend Micro tarafından belgelenen en son enfeksiyon zincirinde, kurban belgesinin süreklilik için zamanlanmış bir görev oluşturmak ve daha fazla talimat beklemek üzere uzak bir sunucuyla iletişim kurmak için kullanıldığı belirtilmiştir. Ayrıca, belge, “Menorah.exe” adında bir uygulama bırakmak için kullanılmıştır. Komuta kontrol sunucusu şu anda etkin değildir. Bu .NET zararlı yazılım, Check Point tarafından 2021 yılında keşfedilen orijinal C tabanlı SideTwist implantının geliştirilmiş bir sürümüdür ve hedeflenen ana bilgisayarı parmak izlemek, dizinleri ve dosyaları listeleyerek seçilen dosyaları kompromize edilen sistemden yüklemek, kabuk komutlarını çalıştırmak ve dosyaları sisteme indirmek için çeşitli özelliklere sahiptir.
“Apt grupları için tipik olduğu gibi, APT34, geniş kaynaklarını ve çeşitli becerilerini göstermekte ve olası bir başarının sağlanması için hedeflenen organizasyona bağlı olarak rutinleri ve sosyal mühendislik tekniklerini özelleştirmeye ve siber casuslukta başarı, gizlilik ve siber casusluğu sağlamak için sürekli olarak geliştirmeye devam edecektir” şeklinde araştırmacılar belirtmiştir.