Actores cibernéticos sofisticados respaldados por Irán conocidos como Plataforma petrolera se han relacionado con una campaña de phishing que infecta a las víctimas con una nueva cepa de malware llamada Menorah.
«El malware fue diseñado para el ciberespionaje, capaz de identificar la máquina, leer y cargar archivos desde la máquina y descargar otro archivo o malware», afirman los investigadores de Trend Micro Mohamed Fahmy y Mahmoud Zohdy. dicho en un informe del viernes.
La victimología de los ataques no se conoce de inmediato, aunque el uso de señuelos indica que al menos uno de los objetivos es una organización ubicada en Arabia Saudita.
También rastreado bajo los nombres APT34, Cobalt Gypsy, Hazel Sandstorm y Helix Kitten, OilRig es un grupo iraní de amenazas persistentes avanzadas (APT) que se especializa en operaciones encubiertas de recopilación de inteligencia para infiltrarse y mantener el acceso dentro de redes específicas.
La revelación se basa en hallazgos recientes de NSFOCUS, que descubrió un ataque de phishing de OilRig que resultó en la implementación de una nueva variante del malware SideTwist, lo que indica que está en desarrollo continuo.
En la última cadena de infección documentada por Trend Micro, el documento señuelo se utiliza para crear una tarea programada para la persistencia y soltar un ejecutable («Menorah.exe») que, a su vez, establece contacto con un servidor remoto a la espera de nuevas instrucciones. El servidor de comando y control está actualmente inactivo.
Luche contra la IA con IA: combata las ciberamenazas con herramientas de IA de próxima generación
¿Listo para afrontar nuevos desafíos de ciberseguridad impulsados por la IA? Únase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.
El malware .NET, una versión mejorada del implante SideTwist original basado en C descubierto por Check Point en 2021, está armado con varias funciones para tomar huellas digitales del host objetivo, enumerar directorios y archivos, cargar archivos seleccionados del sistema comprometido y ejecutar comandos de shell. y descargar archivos al sistema.
«El grupo desarrolla y mejora constantemente herramientas, con el objetivo de reducir las soluciones de seguridad y la detección de los investigadores», dijeron los investigadores.
«Típico de los grupos APT, APT34 demuestra sus vastos recursos y habilidades variadas, y probablemente persistirá en personalizar rutinas y técnicas de ingeniería social para usar en cada organización objetivo para garantizar el éxito en intrusiones, sigilo y ciberespionaje».