Des cyberacteurs sophistiqués soutenus par l’Iran connus sous le nom de Plate-forme pétrolière ont été liés à une campagne de spear phishing qui infecte les victimes avec une nouvelle souche de malware appelée Menorah.
« Le malware a été conçu pour le cyberespionnage, capable d’identifier la machine, de lire et de télécharger des fichiers depuis la machine, et de télécharger un autre fichier ou un autre malware », ont déclaré Mohamed Fahmy et Mahmoud Zohdy, chercheurs de Trend Micro. dit dans un rapport de vendredi.
La victimologie des attaques n’est pas immédiatement connue, bien que l’utilisation de leurres indique qu’au moins une des cibles est une organisation située en Arabie Saoudite.
Également suivi sous les noms d’APT34, Cobalt Gypsy, Hazel Sandstorm et Helix Kitten, OilRig est un groupe iranien de menace persistante avancée (APT) spécialisé dans les opérations secrètes de collecte de renseignements pour infiltrer et maintenir l’accès au sein des réseaux ciblés.
La révélation s’appuie sur les découvertes récentes de NSFOCUS, qui ont découvert une attaque de phishing OilRig ayant entraîné le déploiement d’une nouvelle variante du malware SideTwist, indiquant qu’il est en développement continu.
Dans la dernière chaîne d’infection documentée par Trend Micro, le document leurre est utilisé pour créer une tâche planifiée pour la persistance et déposer un exécutable (« Menorah.exe ») qui, de son côté, établit le contact avec un serveur distant pour attendre des instructions supplémentaires. Le serveur de commande et de contrôle est actuellement inactif.
Combattez l’IA avec l’IA – Combattez les cybermenaces avec des outils d’IA de nouvelle génération
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
Le malware .NET, une version améliorée de l’implant SideTwist original basé sur C découvert par Check Point en 2021, est doté de diverses fonctionnalités pour identifier l’hôte ciblé, répertorier les répertoires et les fichiers, télécharger les fichiers sélectionnés à partir du système compromis, exécuter des commandes shell. et téléchargez les fichiers sur le système.
« Le groupe développe et améliore constamment des outils visant à réduire les solutions de sécurité et la détection des chercheurs », ont indiqué les chercheurs.
« Typique des groupes APT, APT34 démontre ses vastes ressources et ses compétences variées, et persistera probablement à personnaliser les routines et les techniques d’ingénierie sociale à utiliser par l’organisation ciblée pour garantir le succès des intrusions, de la furtivité et du cyberespionnage. »