Nuodų varlė
Viena liūdniausiai įsilaužėlių grupių iš Artimųjų Rytų yra kilusi iš Irano ir vadinasi „OilRig“. Jie taip pat žinomi slapyvardžiais HelixKitten IRN2 ir APT34 (Advanced Persistent Threat). „OilRig“ įsilaužimų grupė pradėjo veikti dar 2014 m., Ir nuo to laiko, kaip žinoma, jie pareikalavo daugybės aukų. Paprastai „OilRig“ grupė eina paskui tikslus, veikiančius chemijos, energetikos ir telekomunikacijų pramonėje. Jie taip pat linkę skirti finansines, taip pat vyriausybines institucijas. Kai kurie ekspertai mano, kad įsilaužimo grupę „OilRig“ remia Irano vyriausybė ir ji naudojama įvykdyti išpuolius, kuriais siekiama išplėsti Irano valstybės interesus.
Turinys
„Poison Frog Backdoor“ parašyta C #
Neseniai APT34 atkreipė kibernetinio saugumo tyrinėtojų dėmesį į naują grėsmę, pavadintą „Poison Frog“. „Poison Frog“ grėsmė yra Trojos arklys, parašytas C # programavimo kalba. C # parašytos grėsmės nėra linkusios spindėti savo galimybėmis. Paprastai tai yra vienintelis „PowerShell“ scenarijaus įšvirkštimo būdas, kuris po to įvykdomas ir greitai sunaikinamas įvykus išpuoliui. Panašiai kaip ir „PowerShell“ scenarijų aptiktoje logikoje, „PowerShell“ scenarijų įterpimas veikia tokiu pačiu būdu. DNS ir HTTP užpakalinės durys randamos po dvi ilgas eilutes dns_ag ir http_ag, kurios koduojamos „base64“. Užduočių planavimo tarnyba padeda „Poison Frog“ durims išlaikyti atkaklumą pažeistame šeimininke.
Nuodų varlės grėsmė yra užmaskuota kaip teisėta naudingumas
Užkrėpus tikslinę sistemą, „Poison Frog“ grėsmė paslėps save kaip teisėtą programą, vadinamą „Cisco AnyConnect“. Nereikia nė sakyti, kad „Poison Frog“ durys jokiu būdu nėra susijusios su autentiška „Cisco AnyConnect“ programine įranga. „Poison Frog“ grėsme rodomas suklastotas išdėstymas ir mygtukas „Jungtis“. Tačiau jei vartotojas spustelės mygtuką „Prijungti“, jam bus parodytas iššokantis langas, kuriame rodomas klaidos pranešimas. Tai yra triukas, kuriuo siekiama suklaidinti vartotojus manant, kad jų interneto ryšys yra problema.
„OilRig“ grupė padarė keletą klaidų kurdama nuodų varlių grėsmę
Kai kibernetinio saugumo ekspertai tyrė „Poison Frog“ duris, jie atrado daugybę klaidų, kurias padarė „OilRig“ įsilaužimų grupė. Vienas iš aptiktų pavyzdžių nesugeba įvykdyti, nes grėsmės kūrėjai vietoj „Powershell.exe“ pasinaudojo neteisinga komanda „Poweeershell.exe“. Kituose pavyzdžiuose ekspertai pastebėjo, kad PBP nurodytas kelias yra dvejetainės grėsmės viduje. Norėdami supainioti kenkėjiškų programų tyrinėtojus, „Poison Frog“ durų autoriai pakeitė grėsmės sudarymo datą ateityje.
Nepaisant kai kurių „OilRig APT“ padarytų klaidų, ši įsilaužimų grupė nėra ta, kuri turi būti nepakankamai įvertinta. „OilRig“ įsilaužimų grupė tam tikru metu ateityje gali atnaujinti „Poison Frog“ duris ir ištaisyti klaidas, todėl grėsmė tampa dar stipresnė.
