Myrkky sammakko
Uhkien tuloskortti
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards ovat arviointiraportteja erilaisista haittaohjelmauhkista, jotka tutkimustiimimme on kerännyt ja analysoinut. EnigmaSoft Threat Scorecards arvioi ja luokittelee uhkia käyttämällä useita mittareita, mukaan lukien todelliset ja mahdolliset riskitekijät, trendit, esiintymistiheys, esiintyvyys ja pysyvyys. EnigmaSoft Threat Scorecards päivitetään säännöllisesti tutkimustietojemme ja mittareittemme perusteella, ja ne ovat hyödyllisiä monenlaisille tietokoneen käyttäjille, aina haittaohjelmien poistamiseen järjestelmissään ratkaisuja etsivistä loppukäyttäjistä uhkia analysoiviin tietoturvaasiantuntijoihin.
EnigmaSoft Threat Scorecards näyttää monenlaista hyödyllistä tietoa, mukaan lukien:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Vakavuustaso: Kohteen määritetty vakavuusaste, joka esitetään numeerisesti riskimallinnuksemme ja tutkimukseemme perusteella, kuten uhkien arviointikriteereissämme selitetään.
Tartunnan saaneet tietokoneet: SpyHunterin raportoimien vahvistettujen ja epäiltyjen tietyn uhan tapausten määrä tartunnan saaneissa tietokoneissa.
Katso myös Uhkien arviointikriteerit .
| Uhka taso: | 80 % (Korkea) |
| Tartunnan saaneet tietokoneet: | 61 |
| Ensin nähty: | January 16, 2020 |
| Viimeksi nähty: | July 11, 2023 |
| Vaikuttavat käyttöjärjestelmät: | Windows |
Yksi Lähi-idän pahamaineisimmista hakkerointiryhmistä on peräisin Iranista ja sen nimi on OilRig. Ne tunnetaan myös nimellä HelixKitten IRN2 ja APT34 (Advanced Persistent Threat). OilRig-hakkerointiryhmä aloitti toimintansa jo vuonna 2014, ja siitä lähtien heidän tiedetään väittäneen lukemattomia uhreja. Yleensä OilRig-ryhmä seuraa kemian, energian ja tietoliikenteen aloilla toimivia tavoitteita. Heillä on taipumus kohdistaa myös finanssipoliittisia samoin kuin julkisia instituutioita. Jotkut asiantuntijat uskovat, että Iranin hallitus tukee OilRig-hakkerointiryhmää ja että sitä käytetään hyökkäyksiin, jotka edistävät Iranin valtion etuja.
Sisällysluettelo
Myrkky sammakko takaoven on kirjoitettu C #
Äskettäin APT34 on herättänyt verkkoturvallisuustutkijoiden huomion uudella uhalla, nimeltään Poison Frog. Poison Frog -uhka on troijalainen takaovi, joka on kirjoitettu C # -ohjelmointikielellä. C #: llä kirjoitetut uhat eivät yleensä palaa heidän kykynsä kanssa. Yleensä ainoa tehtävä on injektoida PowerShell-skripti, joka sitten suoritetaan ja pyyhitään nopeasti hyökkäyksen jälkeen. Samoin kuin pudotuspelissä PowerShell-skripteissä löydetty logiikka, PowerShell-skripti upotettu toimii samalla tavalla. DNS- ja HTTP-takaovet löytyvät kahden pitkän merkkijonon dns_ag ja http_ag alla, jotka ovat base64-koodattuja. Tehtäväaikataulupalvelu auttaa Myrkky sammakon takaoven saavuttamaan pysyvyyden vaarannetussa isäntässä.
Myrkky sammakon uhka on naamioitu lailliseksi apuohjelmaksi
Kun tartunnan kohteena olevaan järjestelmään, myrkkyfrog-uhka peittäisi itsensä lailliseksi sovellukseksi nimeltään Cisco AnyConnect. Sanomattakin on selvää, että Poison Frog -takaovi ei ole millään tavoin sidoksissa aitoon Cisco AnyConnect -apuohjelmaan. Myrkkyfrog-uhka näyttää väärennetyn asettelun ja painikkeen, jonka lukema on Yhdistä. Jos käyttäjä napsauttaa Yhdistä-painiketta, hänelle avautuu ponnahdusikkuna, joka näyttää virheilmoituksen. Tämä on temppu, jonka tarkoituksena on huijata käyttäjiä uskomaan, että heidän Internet-yhteyttään on ongelma.
OilRig-ryhmä on tehnyt useita virheitä kehittäessään myrkky-sammakon uhkaa
Kun kyberturvallisuuden asiantuntijat tutkivat Poison Frog -takaovia, he löysivät joukon virheitä, jotka OilRig-hakkerointiryhmä on tehnyt. Yksi löydetyistä näytteistä ei kykene suorittamaan, koska uhan tekijät ovat käyttäneet väärää komentoa 'Poweeershell.exe' sen sijaan, että käyttäisivät 'Powershell.exe'. Muissa näytteissä asiantuntijat havaitsivat, että ATE-polku oli uhan binäärissä. Haittaohjelmatutkijoiden hämmentämiseksi Myrkky sammakon takaoven kirjoittajat ovat muuttaneet uhan kokoamispäivää tulevaisuuden asetukseksi.
Huolimatta OilRig APT: n tekemistä virheistä tätä hakkerointiryhmää ei pidä aliarvioida. OilRig-hakkerointiryhmä voi päivittää Myrkkyfrogin takaoven jossain vaiheessa tulevaisuutta ja puhdistaa virheet, mikä tekee uhasta paljon voimakkaamman.
