Poison Frog
En af de mest berygtede hackinggrupper fra Mellemøsten stammer fra Iran og får navnet OilRig. De er også kendt under aliaserne HelixKitten IRN2 og APT34 (Advanced Persistent Threat). OilRig-hacking-gruppen begyndte at operere tilbage i 2014, og siden da vides de at have krævet utallige ofre. Normalt går OilRig-gruppen efter mål, der opererer inden for den kemiske, energi- og telekommunikationsindustri. De har også en tendens til at målrette mod finansielle såvel som statslige institutioner. Nogle eksperter mener, at OilRig-hackinggruppen er sponsoreret af den iranske regering og bruges til at udføre angreb, der tjener til at fremme interessen i Iran.
Indholdsfortegnelse
Poison Frog Backdoor er skrevet i C #
For nylig har APT34 tiltrukket opmærksomheden fra cybersecurity-forskere med en ny trussel kaldet Poison Frog. Poison Frog-truslen er en trojansk bagdør, der er skrevet på programmeringssprog C #. Trusler skrevet i C # har ikke en tendens til at skinne med deres evner. Normalt tjener de eneste til at injicere PowerShell-scriptet, der derefter henrettes og hurtigt udslettes efter angrebet har fundet sted. I lighed med den logik, der findes i dropper PowerShell-scripts, fungerer PowerShell-scriptet indlejret på samme måde. DNS- og HTTP-bagdøren findes under de to lange strenge dns_ag og http_ag, som er base64-kodet. Opgaveplanlægningstjenesten hjælper Poison Frog-bagdøren med at få vedholdenhed på den kompromitterede vært.
Poison Frog Threat er maskeret som et legitimt værktøj
Efter infektion af det målrettede system ville Poison Frog-truslen maske sig selv som en legitim applikation kaldet Cisco AnyConnect. Naturligvis er Poison Frog-bagdøren på ingen måde tilknyttet det ægte Cisco AnyConnect-værktøj. Poison Frog-truslen viser et falsk layout og en knap, der lyder 'Connect'. Hvis brugeren imidlertid klikker på knappen 'Opret forbindelse', vises de med et pop op-vindue, der viser en fejlmeddelelse. Dette er et trick, der skal narre brugerne til at tro, at der er et problem med deres internetforbindelse.
OilRig-gruppen har foretaget flere fejl, når de udvikler Poison Frog Threat
Da cybersikkerhedseksperter studerede Poison Frog-bagdøren, opdagede de en række fejl, som OilRig-hacking-gruppen har foretaget. En af de fundne prøver er ikke i stand til at udføre, fordi skaberne af truslen har brugt en forkert kommando 'Poweeershell.exe' i stedet for at bruge 'Powershell.exe.' I andre prøver opdagede eksperter, at PDB-stien var inde i truslen. For at forvirre malware-forskere har forfatterne af Poison Frog-bagdøren ændret kompilationsdatoen for truslen mod en, der er sat i fremtiden.
På trods af nogle fejl fra OilRig APT er denne hackinggruppe ikke en, der skal undervurderes. OilRig-hacking-gruppen opdaterer muligvis Poison Frog-bagdøren på et tidspunkt i fremtiden og rydder fejlene, hvilket gør truslen meget mere potent.
