Poison Frog
Scorecard of Threat
Scorecard ohrožení EnigmaSoft
EnigmaSoft Threat Scorecards jsou zprávy o hodnocení různých malwarových hrozeb, které shromáždil a analyzoval náš výzkumný tým. EnigmaSoft Threat Scorecards hodnotí a hodnotí hrozby pomocí několika metrik včetně reálných a potenciálních rizikových faktorů, trendů, frekvence, prevalence a perzistence. EnigmaSoft Threat Scorecards jsou pravidelně aktualizovány na základě našich výzkumných dat a metrik a jsou užitečné pro širokou škálu počítačových uživatelů, od koncových uživatelů hledajících řešení k odstranění malwaru ze svých systémů až po bezpečnostní experty analyzující hrozby.
EnigmaSoft Threat Scorecards zobrazuje řadu užitečných informací, včetně:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Úroveň závažnosti: Určená úroveň závažnosti objektu, vyjádřená číselně, na základě našeho procesu modelování rizik a výzkumu, jak je vysvětleno v našich kritériích hodnocení hrozeb .
Infikované počítače: Počet potvrzených a podezřelých případů konkrétní hrozby zjištěných na infikovaných počítačích podle zprávy SpyHunter.
Viz také Kritéria hodnocení hrozeb .
| Úroveň ohrožení: | 80 % (Vysoký) |
| Infikované počítače: | 61 |
| Poprvé viděn: | January 16, 2020 |
| Naposledy viděn: | July 11, 2023 |
| Ovlivněné OS: | Windows |
Jedna z nejznámějších hackerských skupin na Středním východě pochází z Íránu a nazývá se OilRig. Jsou také známy pod přezdívkami HelixKitten IRN2 a APT34 (Advanced Persistent Threat). Hackerská skupina OilRig začala fungovat zpět v roce 2014 a od té doby je známo, že si vyžádalo bezpočet obětí. Skupina OilRig obvykle jde za cíli působícími v chemickém, energetickém a telekomunikačním průmyslu. Mají také tendenci zaměřovat se na finanční i vládní instituce. Někteří odborníci se domnívají, že hackerská skupina OilRig je sponzorována íránskou vládou a používá se k provádění útoků, které slouží k prosazování zájmů státu Írán.
Obsah
Poison Frog Backdoor je napsán v C #
Nedávno přitáhl APT34 pozornost vědců v oblasti kybernetické bezpečnosti s novou hrozbou nazvanou Poison Frog. Hrozba Poison Frog je trojské backdoor, které je napsáno v programovacím jazyce C #. Hrozby napsané v C # nemají tendenci zářit svými schopnostmi. Obvykle slouží pouze k vložení skriptu PowerShell, který je poté po útoku proveden a rychle vymazán. Podobně jako logika nalezená v skriptech PowerShell v kapátku, skript PowerShell vložený funguje stejným způsobem. Zadní vrátka DNS a HTTP se nacházejí pod dvěma dlouhými řetězci dns_ag a http_ag, které jsou kódovány na základě base64. Služba plánování úloh pomáhá zadním žabím domům získat vytrvalost na ohroženém hostiteli.
Hrozba Poison Frog je maskována jako legitimní utilita
Po infikování cílového systému by se hrozba Poison Frog maskovala jako legitimní aplikace zvaná Cisco AnyConnect. Backison Frog Backdoor není nijak spojen s originálním obslužným programem Cisco AnyConnect. Hrozba Poison Frog zobrazuje falešné rozvržení a tlačítko, které zní „Připojit“. Pokud však uživatel klepne na tlačítko „Připojit“, zobrazí se mu vyskakovací okno s chybovou zprávou. Toto je trik, který má oklamat uživatele, aby věřili, že existuje problém s jejich internetovým připojením.
Skupina OilRig udělala několik chyb při vývoji hrozby Poison Frog
Když odborníci na kybernetickou bezpečnost studovali zadní vrátku Poison Frog, objevili řadu chyb, které hackerská skupina OilRig udělala. Jeden ze zjištěných vzorků není schopen provést, protože tvůrci hrozby použili namísto použití 'Powershell.exe nesprávný příkaz' Poweeershell.exe '. V jiných vzorcích odborníci zjistili, že cesta PDB byla uvnitř binárního souboru hrozby. Aby zmatení badatelé malwaru změnili autoři zadního okna Poison Frog datum kompilace této hrozby na budoucnost.
Navzdory některým chybám, které se dopustily OilRig APT, tato hackerská skupina není taková, kterou je třeba podceňovat. Hackerská skupina OilRig může v budoucnu v budoucnu aktualizovat backison Poison Frog a odstranit chyby, čímž je hrozba mnohem účinnější.
