Méreg béka
A Közel-Kelet egyik leghírhedtebb hackelési csoportja Iránból származik, és OilRig néven megy keresztül. Ismertek a HelixKitten IRN2 és APT34 (Advanced Persistent Threat) álnéven is. Az OilRig hackerek csoportja 2014-ben kezdte meg működését, és azóta ismert, hogy számtalan áldozatot követeltek. Az OilRig csoport általában a vegyipar, az energiaipar és a telekommunikáció területén működő célokat követi. Ugyancsak hajlamosak pénzügyi, valamint kormányzati intézményeket célozni. Egyes szakértők úgy vélik, hogy az OilRig csapkodócsoportot az iráni kormány szponzorálja, és arra használják, hogy támadásokat hajtsanak végre, amelyek elősegítik Irán állam érdekeit.
Tartalomjegyzék
A mérgező béka hátsóajtó C # nyelven íródott
Az utóbbi időben az APT34 felhívta a kiberbiztonsági kutatók figyelmét egy új, Poison Frog elnevezésű fenyegetéssel. A Poison Frog fenyegetése egy trójai hátsó ajtó, amelyet a C # programozási nyelven írnak. A C #-ben írt fenyegetések nem hajlamosak megsemmisíteni képességeiket. Általában az egyetlen feladat a PowerShell-szkript befecskendezése, amelyet a támadás befejezése után végrehajtanak és gyorsan törölnek. A csepegtető PowerShell-parancsfájlok logikájához hasonlóan a beágyazott PowerShell-szkript ugyanúgy működik. A DNS és a HTTP hátsó ajtó a két hosszú dns_ag és http_ag karakterlánc alatt található, amelyek base64 kódolásúak. A feladatütemezési szolgáltatás segíti a Méregbéka hátsó ajtóját, hogy kitartóan megszerezze a veszélyeztetett gazdagépet.
A mérgezőbéka-fenyegetést törvényes segédprogramként maszkolják
A megcélzott rendszer megfertőzésekor a Méregbéka fenyegetése elrejti a Cisco AnyConnect nevű legitim alkalmazásként. Mondanom sem kell, hogy a Poison Frog hátsóajtója semmilyen módon nem áll kapcsolatban a valódi Cisco AnyConnect segédprogrammal. A méregbéka fenyegetése hamis elrendezést és egy gombot mutat, amely a "Csatlakozás" feliratot mutatja. Ha azonban a felhasználó rákattint a „Csatlakozás” gombra, egy felbukkanó ablak jelenik meg, amelyen hibaüzenet jelenik meg. Ez egy olyan trükk, amelynek célja a felhasználók becsapása azt hinni, hogy probléma merül fel az internetkapcsolattal.
Az OilRig csoport számos hibát követett el a mérgezőbéka fenyegetésének fejlesztésekor
Amikor a kiberbiztonsági szakértők megvizsgálták a Poison Frog hátsó ajtót, számos hibát fedeztek fel, amelyeket az OilRig hackeléscsoport tett. Az egyik felfedezett minta nem képes végrehajtásra, mivel a fenyegetés készítői helytelen 'Poweeershell.exe' parancsot használták a 'Powershell.exe' helyett. Más mintákban a szakértők észrevették, hogy az PDB útja a fenyegetés bináris értékén belül van. Annak érdekében, hogy megzavarják a rosszindulatú programok kutatóit, a Méregbéka hátsóajtójának szerzői megváltoztatták a fenyegetés összeállításának időpontját a jövőbeni veszélyre.
Az OilRig APT néhány hibája ellenére ezt a hackelési csoportot nem szabad alábecsülni. Az OilRig hackeléscsoport a jövőben frissítheti a Poison Frog hátsó ajtóját, és kitisztíthatja a hibákat, így a fenyegetés sokkal erősebbé válhat.
