Poison Frog

Uno dei gruppi di hacking più famosi del Medio Oriente proviene dall'Iran e prende il nome di OilRig. Sono anche noti con gli alias HelixKitten IRN2 e APT34 (Advanced Persistent Threat). Il gruppo di hacking di OilRig ha iniziato a operare nel 2014 e da allora è noto che hanno causato innumerevoli vittime. Di solito, il gruppo OilRig insegue obiettivi che operano nei settori chimico, energetico e delle telecomunicazioni. Tendono inoltre a colpire istituzioni finanziarie e governative. Alcuni esperti ritengono che il gruppo di hacking OilRig sia sponsorizzato dal governo iraniano e venga utilizzato per eseguire attacchi che servono a favorire gli interessi dello stato dell'Iran.

The Poison Frog Backdoor è scritto in C #

Recentemente, l'APT34 ha attirato l'attenzione dei ricercatori sulla sicurezza informatica con una nuova minaccia chiamata Poison Frog. La minaccia Poison Frog è una backdoor trojan che è scritta nel linguaggio di programmazione C #. Le minacce scritte in C # non tendono a brillare con le loro capacità. Di solito, l'unico servizio per iniettare lo script di PowerShell, che viene quindi eseguito e cancellato rapidamente dopo l'attacco. Simile alla logica presente negli script dropper PowerShell, lo script PowerShell incorporato agisce allo stesso modo. Le backdoor DNS e HTTP si trovano sotto le due stringhe lunghe dns_ag e http_ag, codificate in base64. Il servizio di pianificazione delle attività aiuta la backdoor di Poison Frog a ottenere persistenza sull'host compromesso.

La minaccia Poison Frog è mascherata da una legittima utilità

Al momento dell'infezione del sistema di destinazione, la minaccia Poison Frog si maschererebbe come un'applicazione legittima chiamata Cisco AnyConnect. Inutile dire che la backdoor di Poison Frog non è in alcun modo affiliata all'utilità Cisco AnyConnect originale. La minaccia Poison Frog mostra un layout falso e un pulsante che dice "Connetti". Tuttavia, se l'utente fa clic sul pulsante "Connetti", verrà visualizzata una finestra pop-up che mostra un messaggio di errore. Questo è un trucco che ha lo scopo di ingannare gli utenti nel credere che ci sia un problema con la loro connessione a Internet.

Il gruppo OilRig ha commesso diversi errori durante lo sviluppo della minaccia Poison Frog

Quando gli esperti di sicurezza informatica hanno studiato la backdoor di Poison Frog, hanno scoperto una serie di errori che il gruppo di hacking OilRig ha commesso. Uno degli esempi scoperti non è in grado di eseguire perché i creatori della minaccia hanno utilizzato un comando errato "Poweeershell.exe" anziché utilizzare "Powershell.exe". In altri campioni, gli esperti hanno scoperto che il percorso del PDB era all'interno del binario della minaccia. Al fine di confondere i ricercatori di malware, gli autori della backdoor di Poison Frog hanno modificato la data di compilazione della minaccia in una di quelle fissate in futuro.

Nonostante alcuni errori commessi dall'APT OilRig, questo gruppo di hacking non è uno da sottovalutare. Il gruppo di hacker di OilRig potrebbe aggiornare la backdoor di Poison Frog in futuro e cancellare gli errori, rendendo la minaccia molto più potente.

Tendenza

I più visti

Caricamento in corso...