Otrovna žaba
Jedna od najzloglasnijih hakerskih skupina s Bliskog Istoka potječe iz Irana i nosi naziv OilRig. Poznati su i pod pseudonimama HelixKitten IRN2 i APT34 (Napredna uporna prijetnja). Grupa za hakiranje OilRig započela je s radom još 2014. godine i od tada se zna da su zahtijevali bezbroj žrtava. Obično, grupa OilRig slijedi ciljeve koji djeluju u kemijskoj, energetskoj i telekomunikacijskoj industriji. Oni imaju tendenciju da ciljaju financijske i vladine institucije. Neki stručnjaci vjeruju da iransku vladu sponzorira skupina za hakiranje OilRig-a i koristi se za izvođenje napada koji služe unapređenju interesa države Iran.
Sadržaj
Potraga za otrovom žaba napisana je na C #
Nedavno je APT34 privukao pažnju istraživača kibernetičke sigurnosti novom prijetnjom nazvanom Poison Frog. Prijetnja Poison Frog je trojanski backdoor koji je napisan na programskom jeziku C #. Prijetnje napisane na C # nemaju tendenciju da sjaje sa svojim mogućnostima. Obično jedini služi za ubrizgavanje skripte PowerShell, koja se zatim izvršava i brzo briše nakon što se napad dogodio. Slično kao što je logika pronađena u skriptu PowerShell-a s kapaljkom, i PowerShell skripta djeluje na isti način. DNS i HTTP backdoor nalaze se ispod dva dugačka niza dns_ag i http_ag, koji su base64 kodirani. Usluga zakazivanja zadataka pomaže stražnjim kućama Poison Frog da steknu upornost za ugroženog domaćina.
Prijetnja otrova žaba maskirana je kao legitimno korisno sredstvo
Nakon zaraze ciljanim sustavom prijetnja Poison Frog maskirala bi se kao legitimna aplikacija pod nazivom Cisco AnyConnect. Nepotrebno je reći da stražnja klupa Poison Frog ni na koji način nije povezana sa stvarnim uslužnim programom Cisco AnyConnect. Prijetnja Poison Frog prikazuje lažni izgled i gumb na kojem piše "Poveži se". No ako korisnik klikne gumb "Poveži", prikazat će se skočni prozor s porukom pogreške. Ovo je trik koji želi prevariti korisnike u vjerovanju da postoji problem s njihovom internetskom vezom.
OilRig Grupa je napravila nekoliko pogrešaka prilikom razvoja prijetnje otrovom žaba
Kad su stručnjaci za cyber-sigurnost proučavali Poison Frog stražnjicu, otkrili su brojne pogreške koje je napravila hakerska skupina OilRig. Jedan od otkrivenih uzoraka nije u stanju izvršiti jer su tvorci prijetnje upotrijebili pogrešnu naredbu 'Poweeershell.exe' umjesto da upotrebljavaju 'Powershell.exe.' U drugim su uzorcima stručnjaci uočili da je put PDB unutar binarne prijetnje. Da bi zbunili istraživače zlonamjernog softvera, autori Poison Frog backdoor-a izmijenili su datum sastavljanja prijetnje za one koji će se postaviti u budućnosti.
Unatoč nekim pogreškama OilRig APT-a, ova hakerska skupina nije jedna koju treba podcijeniti. Grupa za hakiranje OilRig-a može ažurirati Poison Frog stražnju vrata u nekom trenutku u budućnosti i otkloniti pogreške, čime pretnja postaje mnogo jača.
