Poison Frog
Jedna z nejznámějších hackerských skupin na Středním východě pochází z Íránu a nazývá se OilRig. Jsou také známy pod přezdívkami HelixKitten IRN2 a APT34 (Advanced Persistent Threat). Hackerská skupina OilRig začala fungovat zpět v roce 2014 a od té doby je známo, že si vyžádalo bezpočet obětí. Skupina OilRig obvykle jde za cíli působícími v chemickém, energetickém a telekomunikačním průmyslu. Mají také tendenci zaměřovat se na finanční i vládní instituce. Někteří odborníci se domnívají, že hackerská skupina OilRig je sponzorována íránskou vládou a používá se k provádění útoků, které slouží k prosazování zájmů státu Írán.
Obsah
Poison Frog Backdoor je napsán v C #
Nedávno přitáhl APT34 pozornost vědců v oblasti kybernetické bezpečnosti s novou hrozbou nazvanou Poison Frog. Hrozba Poison Frog je trojské backdoor, které je napsáno v programovacím jazyce C #. Hrozby napsané v C # nemají tendenci zářit svými schopnostmi. Obvykle slouží pouze k vložení skriptu PowerShell, který je poté po útoku proveden a rychle vymazán. Podobně jako logika nalezená v skriptech PowerShell v kapátku, skript PowerShell vložený funguje stejným způsobem. Zadní vrátka DNS a HTTP se nacházejí pod dvěma dlouhými řetězci dns_ag a http_ag, které jsou kódovány na základě base64. Služba plánování úloh pomáhá zadním žabím domům získat vytrvalost na ohroženém hostiteli.
Hrozba Poison Frog je maskována jako legitimní utilita
Po infikování cílového systému by se hrozba Poison Frog maskovala jako legitimní aplikace zvaná Cisco AnyConnect. Backison Frog Backdoor není nijak spojen s originálním obslužným programem Cisco AnyConnect. Hrozba Poison Frog zobrazuje falešné rozvržení a tlačítko, které zní „Připojit“. Pokud však uživatel klepne na tlačítko „Připojit“, zobrazí se mu vyskakovací okno s chybovou zprávou. Toto je trik, který má oklamat uživatele, aby věřili, že existuje problém s jejich internetovým připojením.
Skupina OilRig udělala několik chyb při vývoji hrozby Poison Frog
Když odborníci na kybernetickou bezpečnost studovali zadní vrátku Poison Frog, objevili řadu chyb, které hackerská skupina OilRig udělala. Jeden ze zjištěných vzorků není schopen provést, protože tvůrci hrozby použili namísto použití 'Powershell.exe nesprávný příkaz' Poweeershell.exe '. V jiných vzorcích odborníci zjistili, že cesta PDB byla uvnitř binárního souboru hrozby. Aby zmatení badatelé malwaru změnili autoři zadního okna Poison Frog datum kompilace této hrozby na budoucnost.
Navzdory některým chybám, které se dopustily OilRig APT, tato hackerská skupina není taková, kterou je třeba podceňovat. Hackerská skupina OilRig může v budoucnu v budoucnu aktualizovat backison Poison Frog a odstranit chyby, čímž je hrozba mnohem účinnější.
