Myrkky sammakko
Yksi Lähi-idän pahamaineisimmista hakkerointiryhmistä on peräisin Iranista ja sen nimi on OilRig. Ne tunnetaan myös nimellä HelixKitten IRN2 ja APT34 (Advanced Persistent Threat). OilRig-hakkerointiryhmä aloitti toimintansa jo vuonna 2014, ja siitä lähtien heidän tiedetään väittäneen lukemattomia uhreja. Yleensä OilRig-ryhmä seuraa kemian, energian ja tietoliikenteen aloilla toimivia tavoitteita. Heillä on taipumus kohdistaa myös finanssipoliittisia samoin kuin julkisia instituutioita. Jotkut asiantuntijat uskovat, että Iranin hallitus tukee OilRig-hakkerointiryhmää ja että sitä käytetään hyökkäyksiin, jotka edistävät Iranin valtion etuja.
Sisällysluettelo
Myrkky sammakko takaoven on kirjoitettu C #
Äskettäin APT34 on herättänyt verkkoturvallisuustutkijoiden huomion uudella uhalla, nimeltään Poison Frog. Poison Frog -uhka on troijalainen takaovi, joka on kirjoitettu C # -ohjelmointikielellä. C #: llä kirjoitetut uhat eivät yleensä palaa heidän kykynsä kanssa. Yleensä ainoa tehtävä on injektoida PowerShell-skripti, joka sitten suoritetaan ja pyyhitään nopeasti hyökkäyksen jälkeen. Samoin kuin pudotuspelissä PowerShell-skripteissä löydetty logiikka, PowerShell-skripti upotettu toimii samalla tavalla. DNS- ja HTTP-takaovet löytyvät kahden pitkän merkkijonon dns_ag ja http_ag alla, jotka ovat base64-koodattuja. Tehtäväaikataulupalvelu auttaa Myrkky sammakon takaoven saavuttamaan pysyvyyden vaarannetussa isäntässä.
Myrkky sammakon uhka on naamioitu lailliseksi apuohjelmaksi
Kun tartunnan kohteena olevaan järjestelmään, myrkkyfrog-uhka peittäisi itsensä lailliseksi sovellukseksi nimeltään Cisco AnyConnect. Sanomattakin on selvää, että Poison Frog -takaovi ei ole millään tavoin sidoksissa aitoon Cisco AnyConnect -apuohjelmaan. Myrkkyfrog-uhka näyttää väärennetyn asettelun ja painikkeen, jonka lukema on Yhdistä. Jos käyttäjä napsauttaa Yhdistä-painiketta, hänelle avautuu ponnahdusikkuna, joka näyttää virheilmoituksen. Tämä on temppu, jonka tarkoituksena on huijata käyttäjiä uskomaan, että heidän Internet-yhteyttään on ongelma.
OilRig-ryhmä on tehnyt useita virheitä kehittäessään myrkky-sammakon uhkaa
Kun kyberturvallisuuden asiantuntijat tutkivat Poison Frog -takaovia, he löysivät joukon virheitä, jotka OilRig-hakkerointiryhmä on tehnyt. Yksi löydetyistä näytteistä ei kykene suorittamaan, koska uhan tekijät ovat käyttäneet väärää komentoa 'Poweeershell.exe' sen sijaan, että käyttäisivät 'Powershell.exe'. Muissa näytteissä asiantuntijat havaitsivat, että ATE-polku oli uhan binäärissä. Haittaohjelmatutkijoiden hämmentämiseksi Myrkky sammakon takaoven kirjoittajat ovat muuttaneet uhan kokoamispäivää tulevaisuuden asetukseksi.
Huolimatta OilRig APT: n tekemistä virheistä tätä hakkerointiryhmää ei pidä aliarvioida. OilRig-hakkerointiryhmä voi päivittää Myrkkyfrogin takaoven jossain vaiheessa tulevaisuutta ja puhdistaa virheet, mikä tekee uhasta paljon voimakkaamman.
