Poison Frog
Cartoncino segnapunti di minaccia
Scheda di valutazione delle minacce di EnigmaSoft
Le EnigmaSoft Threat Scorecard sono rapporti di valutazione per diverse minacce malware che sono state raccolte e analizzate dal nostro team di ricerca. Le EnigmaSoft Threat Scorecard valutano e classificano le minacce utilizzando diverse metriche tra cui fattori di rischio reali e potenziali, tendenze, frequenza, prevalenza e persistenza. Le EnigmaSoft Threat Scorecard vengono aggiornate regolarmente in base ai dati e alle metriche della nostra ricerca e sono utili per un'ampia gamma di utenti di computer, dagli utenti finali che cercano soluzioni per rimuovere il malware dai loro sistemi agli esperti di sicurezza che analizzano le minacce.
Le schede di valutazione delle minacce di EnigmaSoft mostrano una serie di informazioni utili, tra cui:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Livello di gravità: il livello di gravità determinato di un oggetto, rappresentato numericamente, in base al nostro processo di modellazione del rischio e alla nostra ricerca, come spiegato nei nostri criteri di valutazione delle minacce .
Computer infetti: il numero di casi confermati e sospetti di una particolare minaccia rilevati su computer infetti come riportato da SpyHunter.
Vedere anche Criteri di valutazione delle minacce .
| Livello di minaccia: | 80 % (Alto) |
| Computer infetti: | 61 |
| Visto per la prima volta: | January 16, 2020 |
| Ultima visualizzazione: | July 11, 2023 |
| Sistemi operativi interessati: | Windows |
Uno dei gruppi di hacking più famosi del Medio Oriente proviene dall'Iran e prende il nome di OilRig. Sono anche noti con gli alias HelixKitten IRN2 e APT34 (Advanced Persistent Threat). Il gruppo di hacking di OilRig ha iniziato a operare nel 2014 e da allora è noto che hanno causato innumerevoli vittime. Di solito, il gruppo OilRig insegue obiettivi che operano nei settori chimico, energetico e delle telecomunicazioni. Tendono inoltre a colpire istituzioni finanziarie e governative. Alcuni esperti ritengono che il gruppo di hacking OilRig sia sponsorizzato dal governo iraniano e venga utilizzato per eseguire attacchi che servono a favorire gli interessi dello stato dell'Iran.
Sommario
The Poison Frog Backdoor è scritto in C #
Recentemente, l'APT34 ha attirato l'attenzione dei ricercatori sulla sicurezza informatica con una nuova minaccia chiamata Poison Frog. La minaccia Poison Frog è una backdoor trojan che è scritta nel linguaggio di programmazione C #. Le minacce scritte in C # non tendono a brillare con le loro capacità. Di solito, l'unico servizio per iniettare lo script di PowerShell, che viene quindi eseguito e cancellato rapidamente dopo l'attacco. Simile alla logica presente negli script dropper PowerShell, lo script PowerShell incorporato agisce allo stesso modo. Le backdoor DNS e HTTP si trovano sotto le due stringhe lunghe dns_ag e http_ag, codificate in base64. Il servizio di pianificazione delle attività aiuta la backdoor di Poison Frog a ottenere persistenza sull'host compromesso.
La minaccia Poison Frog è mascherata da una legittima utilità
Al momento dell'infezione del sistema di destinazione, la minaccia Poison Frog si maschererebbe come un'applicazione legittima chiamata Cisco AnyConnect. Inutile dire che la backdoor di Poison Frog non è in alcun modo affiliata all'utilità Cisco AnyConnect originale. La minaccia Poison Frog mostra un layout falso e un pulsante che dice "Connetti". Tuttavia, se l'utente fa clic sul pulsante "Connetti", verrà visualizzata una finestra pop-up che mostra un messaggio di errore. Questo è un trucco che ha lo scopo di ingannare gli utenti nel credere che ci sia un problema con la loro connessione a Internet.
Il gruppo OilRig ha commesso diversi errori durante lo sviluppo della minaccia Poison Frog
Quando gli esperti di sicurezza informatica hanno studiato la backdoor di Poison Frog, hanno scoperto una serie di errori che il gruppo di hacking OilRig ha commesso. Uno degli esempi scoperti non è in grado di eseguire perché i creatori della minaccia hanno utilizzato un comando errato "Poweeershell.exe" anziché utilizzare "Powershell.exe". In altri campioni, gli esperti hanno scoperto che il percorso del PDB era all'interno del binario della minaccia. Al fine di confondere i ricercatori di malware, gli autori della backdoor di Poison Frog hanno modificato la data di compilazione della minaccia in una di quelle fissate in futuro.
Nonostante alcuni errori commessi dall'APT OilRig, questo gruppo di hacking non è uno da sottovalutare. Il gruppo di hacker di OilRig potrebbe aggiornare la backdoor di Poison Frog in futuro e cancellare gli errori, rendendo la minaccia molto più potente.
