Le groupe APT iranien OilRig utilise-t-il le nouveau logiciel malveillant Menorah pour des opérations secrètes ?
- par Kenan
- , le 30 septembre 2023
- 22 h 42 min
Des cyberacteurs sophistiqués soutenus par l’Iran et connus sous le nom d’OilRig ont été associés à une campagne de spear-phishing qui infecte les victimes avec une nouvelle souche de logiciel malveillant appelée Menorah.
« Le logiciel malveillant a été conçu pour le cyberespionnage, capable d’identifier la machine, de lire et de télécharger des fichiers à partir de la machine, et de télécharger un autre fichier ou un logiciel malveillant », ont déclaré les chercheurs de Trend Micro Mohamed Fahmy et Mahmoud Zohdy dans un rapport publié vendredi.
Les victimes de ces attaques ne sont pas encore connues, mais l’utilisation de leurres indique qu’au moins l’une des cibles est une organisation située en Arabie saoudite. Également repéré sous les noms d’APT34, Cobalt Gypsy, Hazel Sandstorm et Helix Kitten, OilRig est un groupe iranien de menaces persistantes avancées (APT) qui se spécialise dans les opérations secrètes de collecte de renseignements afin d’infiltrer des réseaux ciblés et d’y maintenir un accès. Cette révélation s’ajoute aux récentes conclusions de NSFOCUS, qui a découvert une attaque de phishing d’OilRig ayant entraîné le déploiement d’une nouvelle variante du logiciel malveillant SideTwist, ce qui indique qu’il fait l’objet d’un développement continu.
Dans la dernière chaîne d’infection documentée par Trend Micro, le document de leurre est utilisé pour créer une tâche planifiée pour la persistance et déposer un exécutable (« Menorah.exe ») qui, pour sa part, établit un contact avec un serveur distant pour attendre d’autres instructions. Le serveur de commande et de contrôle est actuellement inactif. Le logiciel malveillant .NET, une version améliorée de l’implant SideTwist original basé sur le langage C découvert par Check Point en 2021, est doté de diverses fonctions permettant de prendre l’empreinte de l’hôte ciblé, de dresser la liste des répertoires et des fichiers, de télécharger des fichiers sélectionnés à partir du système compromis, d’exécuter des commandes shell et de télécharger des fichiers sur le système.
« Le groupe développe et améliore constamment ses outils, dans le but de réduire les solutions de sécurité et la détection des chercheurs », ont déclaré les chercheurs. « Typique des groupes APT, APT34 démontre ses vastes ressources et ses compétences variées ; il persiste probablement à personnaliser les routines techniques d’ingénierie sociale par organisation ciblée pour assurer le succès des intrusions, du cyber-espionnage furtif. »