Ciberactores sofisticados respaldados por Irán conocidos como OilRig han sido vinculados a una campaña de phishing que infecta a las víctimas con una nueva cepa de malware llamada Menorah.

La victimología de los ataques no se conoce de inmediato, aunque el uso de señuelos indica que al menos uno de los objetivos es una organización ubicada en Arabia Saudita.

También rastreado bajo los nombres APT34, Cobalt Gypsy, Hazel Sandstorm y Helix Kitten, OilRig es un grupo iraní de amenazas persistentes avanzadas (APT) que se especializa en operaciones encubiertas de recopilación de inteligencia para infiltrarse y mantener el acceso dentro de redes específicas.

La revelación se basa en hallazgos recientes de NSFOCUS, que descubrió un ataque de phishing de OilRig que resultó en la implementación de una nueva variante del malware SideTwist, lo que indica que está en desarrollo continuo.

En la última cadena de infección documentada por Trend Micro, el documento señuelo se utiliza para crear una tarea programada para la persistencia y soltar un ejecutable (“Menorah.exe”) que, a su vez, establece contacto con un servidor remoto a la espera de nuevas instrucciones.

El servidor de comando y control está actualmente inactivo.

Info – Ciberseguridad Latam