Δηλητηριώδη βάτραχος
Μία από τις πιο περίφημες ομάδες hacking από τη Μέση Ανατολή προέρχεται από το Ιράν και ονομάζεται OilRig. Είναι επίσης γνωστά με τα ψευδώνυμα HelixKitten IRN2 και APT34 (Advanced Persistent Threat). Η ομάδα hacking OilRig άρχισε να λειτουργεί το 2014, και έκτοτε είναι γνωστό ότι έχει διεκδικήσει αμέτρητα θύματα. Συνήθως, ο όμιλος OilRig πηγαίνει μετά από στόχους που δραστηριοποιούνται στους κλάδους της χημείας, της ενέργειας και των τηλεπικοινωνιών. Τείνουν επίσης να στοχεύουν τόσο σε οικονομικά όσο και σε κυβερνητικά ιδρύματα. Ορισμένοι ειδικοί πιστεύουν ότι η ομάδα hacking OilRig υποστηρίζεται από την ιρανική κυβέρνηση και χρησιμοποιείται για να πραγματοποιήσει επιθέσεις που εξυπηρετούν τα συμφέροντα του κράτους του Ιράν.
Πίνακας περιεχομένων
Το Poison Frog Backdoor είναι γραμμένο σε C #
Πρόσφατα, το APT34 έχει προσελκύσει την προσοχή των ερευνητών στον κυβερνοχώρο με μια νέα απειλή που ονομάζεται Poison Frog. Η απειλή Poison Frog είναι ένα Trojan backdoor που είναι γραμμένο στη γλώσσα προγραμματισμού C #. Οι απειλές που γράφονται στο C # δεν τείνουν να λάμπουν με τις δυνατότητές τους. Συνήθως, το μόνο που χρησιμεύει για την έγχυση του σεναρίου PowerShell, το οποίο εκτελείται και ξεχειλίζει γρήγορα μετά την επίθεση. Παρόμοια με τη λογική που βρίσκεται στα scripts PowerShell σταγονόμετρου, το ενσωματωμένο σενάριο PowerShell ενεργεί με τον ίδιο τρόπο. Τα backdoor DNS και HTTP βρίσκονται κάτω από τις δύο μεγάλες σειρές dns_ag και http_ag, οι οποίες είναι κωδικοποιημένες με base64. Η υπηρεσία προγραμματισμού εργασιών βοηθά το backdoor βάτραχος Poison να κερδίσει επιμονή στο συμβιβασμό υποδοχής.
Η απειλή δηλητηριώδους βάτραχος καλύπτεται ως νόμιμο βοηθητικό πρόγραμμα
Μόλις μολυνθεί το στοχευμένο σύστημα, η απειλή δηλητηριώδους βάτραχος θα αποκρύπτεται ως μια νόμιμη εφαρμογή που ονομάζεται Cisco AnyConnect. Περιττό να πούμε ότι το backdoor βάτραχος δηλητήριο δεν είναι σε καμία περίπτωση συνδεδεμένο με το γνήσιο βοηθητικό πρόγραμμα Cisco AnyConnect. Η απειλή δηλητηριώδη βάτραχος εμφανίζει μια ψεύτικη διάταξη και ένα κουμπί που διαβάζει 'Συνδεθείτε'. Ωστόσο, αν ο χρήστης κάνει κλικ στο κουμπί "Σύνδεση", θα εμφανιστεί ένα αναδυόμενο παράθυρο που εμφανίζει ένα μήνυμα σφάλματος. Αυτό είναι ένα τέχνασμα που σκοπεύει να ξεγελάσει τους χρήστες να πιστεύουν ότι υπάρχει ένα πρόβλημα με τη σύνδεσή τους στο Διαδίκτυο.
Ο όμιλος OilRig έχει κάνει πολλά λάθη κατά την ανάπτυξη της απειλής του δηλητηριώδους βάτραχος
Όταν οι εμπειρογνώμονες στον κυβερνοχώρο μελέτησαν το backdoor βάτραχος δηλητήριο, ανακάλυψαν μια σειρά από λάθη που έκανε η ομάδα hacking OilRig. Ένα από τα δείγματα που ανακαλύφθηκαν είναι ανίκανο να εκτελεστεί επειδή οι δημιουργοί της απειλής χρησιμοποίησαν μια λανθασμένη εντολή 'Poweeershell.exe' αντί να χρησιμοποιήσουν το 'Powershell.exe'. Σε άλλα δείγματα, οι ειδικοί διαπίστωσαν ότι η διαδρομή PDB ήταν μέσα στο δυαδικό της απειλής. Για να μπερδέψουν τους ερευνητές κακόβουλου λογισμικού, οι συντάκτες της backdoor βάτραχος Poison έχουν αλλάξει την ημερομηνία σύνταξης της απειλής σε μια που έχει οριστεί στο μέλλον.
Παρά ορισμένα λάθη που έγιναν από το OilRig APT, αυτή η ομάδα hacking δεν είναι αυτή που πρέπει να υποτιμηθεί. Η ομάδα hacking OilRig μπορεί να ενημερώσει το backdoor Frog backdoor κάποια στιγμή στο μέλλον και να ξεκαθαρίσει τα σφάλματα, κάνοντας έτσι την απειλή πολύ πιο ισχυρή.
