Méreg béka
Threat Scorecard
EnigmaSoft Threat Scorecard
Az EnigmaSoft Threat Scorecardok különböző rosszindulatú programok fenyegetéseinek értékelési jelentései, amelyeket kutatócsoportunk gyűjtött össze és elemzett. Az EnigmaSoft Threat Scorecardok számos mérőszám segítségével értékelik és rangsorolják a fenyegetéseket, beleértve a valós és potenciális kockázati tényezőket, trendeket, gyakoriságot, prevalenciát és tartósságot. Az EnigmaSoft Threat Scorecardokat kutatási adataink és mérőszámaink alapján rendszeresen frissítjük, és a számítógép-felhasználók széles köre számára hasznosak, a rosszindulatú programokat rendszerükből eltávolító megoldásokat kereső végfelhasználóktól a fenyegetéseket elemző biztonsági szakértőkig.
Az EnigmaSoft Threat Scorecardok számos hasznos információt jelenítenek meg, többek között:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Súlyossági szint: Egy objektum meghatározott súlyossági szintje, számszerűen ábrázolva, kockázati modellezési folyamatunk és kutatásunk alapján, a fenyegetésértékelési kritériumainkban leírtak szerint.
Fertőzött számítógépek: A fertőzött számítógépeken észlelt bizonyos fenyegetés megerősített és feltételezett eseteinek száma, a SpyHunter jelentése szerint.
Lásd még: Fenyegetésértékelési kritériumok .
| Veszélyszint: | 80 % (Magas) |
| Fertőzött számítógépek: | 61 |
| Először látott: | January 16, 2020 |
| Utoljára látva: | July 11, 2023 |
| Érintett operációs rendszer(ek): | Windows |
A Közel-Kelet egyik leghírhedtebb hackelési csoportja Iránból származik, és OilRig néven megy keresztül. Ismertek a HelixKitten IRN2 és APT34 (Advanced Persistent Threat) álnéven is. Az OilRig hackerek csoportja 2014-ben kezdte meg működését, és azóta ismert, hogy számtalan áldozatot követeltek. Az OilRig csoport általában a vegyipar, az energiaipar és a telekommunikáció területén működő célokat követi. Ugyancsak hajlamosak pénzügyi, valamint kormányzati intézményeket célozni. Egyes szakértők úgy vélik, hogy az OilRig csapkodócsoportot az iráni kormány szponzorálja, és arra használják, hogy támadásokat hajtsanak végre, amelyek elősegítik Irán állam érdekeit.
Tartalomjegyzék
A mérgező béka hátsóajtó C # nyelven íródott
Az utóbbi időben az APT34 felhívta a kiberbiztonsági kutatók figyelmét egy új, Poison Frog elnevezésű fenyegetéssel. A Poison Frog fenyegetése egy trójai hátsó ajtó, amelyet a C # programozási nyelven írnak. A C #-ben írt fenyegetések nem hajlamosak megsemmisíteni képességeiket. Általában az egyetlen feladat a PowerShell-szkript befecskendezése, amelyet a támadás befejezése után végrehajtanak és gyorsan törölnek. A csepegtető PowerShell-parancsfájlok logikájához hasonlóan a beágyazott PowerShell-szkript ugyanúgy működik. A DNS és a HTTP hátsó ajtó a két hosszú dns_ag és http_ag karakterlánc alatt található, amelyek base64 kódolásúak. A feladatütemezési szolgáltatás segíti a Méregbéka hátsó ajtóját, hogy kitartóan megszerezze a veszélyeztetett gazdagépet.
A mérgezőbéka-fenyegetést törvényes segédprogramként maszkolják
A megcélzott rendszer megfertőzésekor a Méregbéka fenyegetése elrejti a Cisco AnyConnect nevű legitim alkalmazásként. Mondanom sem kell, hogy a Poison Frog hátsóajtója semmilyen módon nem áll kapcsolatban a valódi Cisco AnyConnect segédprogrammal. A méregbéka fenyegetése hamis elrendezést és egy gombot mutat, amely a "Csatlakozás" feliratot mutatja. Ha azonban a felhasználó rákattint a „Csatlakozás” gombra, egy felbukkanó ablak jelenik meg, amelyen hibaüzenet jelenik meg. Ez egy olyan trükk, amelynek célja a felhasználók becsapása azt hinni, hogy probléma merül fel az internetkapcsolattal.
Az OilRig csoport számos hibát követett el a mérgezőbéka fenyegetésének fejlesztésekor
Amikor a kiberbiztonsági szakértők megvizsgálták a Poison Frog hátsó ajtót, számos hibát fedeztek fel, amelyeket az OilRig hackeléscsoport tett. Az egyik felfedezett minta nem képes végrehajtásra, mivel a fenyegetés készítői helytelen 'Poweeershell.exe' parancsot használták a 'Powershell.exe' helyett. Más mintákban a szakértők észrevették, hogy az PDB útja a fenyegetés bináris értékén belül van. Annak érdekében, hogy megzavarják a rosszindulatú programok kutatóit, a Méregbéka hátsóajtójának szerzői megváltoztatták a fenyegetés összeállításának időpontját a jövőbeni veszélyre.
Az OilRig APT néhány hibája ellenére ezt a hackelési csoportot nem szabad alábecsülni. Az OilRig hackeléscsoport a jövőben frissítheti a Poison Frog hátsó ajtóját, és kitisztíthatja a hibákat, így a fenyegetés sokkal erősebbé válhat.
