Giftfrosk

En av de mest beryktede hackinggruppene fra Midt-Østen stammer fra Iran og går under navnet OilRig. De er også kjent under aliasene HelixKitten IRN2, og APT34 (Advanced Persistent Threat). Hakegruppen OilRig begynte å operere i 2014, og siden er de kjent for å ha påstått utallige ofre. Vanligvis går OilRig-gruppen etter mål som opererer innen kjemisk, energi- og telekommunikasjonsindustri. De har også en tendens til å målrette mot økonomiske, så vel som offentlige institusjoner. Noen eksperter mener at OilRig-hacking-gruppen er sponset av den iranske regjeringen og brukes til å utføre angrep som tjener til å fremme interessene til staten Iran.

Poison Frog Backdoor er skrevet på C #

Nylig har APT34 tiltrukket seg oppmerksomheten fra cybersecurity-forskere med en ny trussel kalt Poison Frog. Poison Frog-trusselen er en trojansk bakdør som er skrevet på programmeringsspråket C #. Trusler skrevet i C # pleier ikke å skinne med sine evner. Vanligvis tjener de eneste til å injisere PowerShell-skriptet, som deretter henrettes og raskt utslettes etter at angrepet har funnet sted. I likhet med logikken som finnes i dropper PowerShell-skript, fungerer PowerShell-skriptet innebygd på samme måte. DNS- og HTTP-bakdøren finnes under de to lange strengene dns_ag og http_ag, som er base64-kodet. Oppgaveplanleggingstjenesten hjelper Poison Frog-bakdøren med å få utholdenhet på den kompromitterte verten.

Poison Frog Threat er maskert som et legitimt verktøy

Etter å ha infisert det målrettede systemet, ville Poison Frog-trusselen maskere seg selv som en legitim applikasjon kalt Cisco AnyConnect. Unødvendig å si, Poison Frog-bakdøren er på ingen måte tilknyttet det ekte Cisco AnyConnect-verktøyet. Poison Frog-trusselen viser en falsk layout og en knapp som leser "Connect". Imidlertid, hvis brukeren klikker på "Connect" -knappen, vil de bli presentert for et popup-vindu som viser en feilmelding. Dette er et triks som er ment å lure brukerne til å tro at det er et problem med Internett-tilkoblingen deres.

OilRig-gruppen har gjort flere feil når de utviklet Poison Frog Threat

Da cybersikkerhetseksperter studerte Poison Frog-bakdøren, oppdaget de en rekke feil som OilRig-hacking-gruppen har gjort. En av prøvene som er oppdaget, er ikke i stand til å utføre fordi skaperne av trusselen har brukt en feil kommando 'Poweeershell.exe' i stedet for å bruke 'Powershell.exe.' I andre prøver oppdaget eksperter at PDB-banen var inne i trusselens binære. For å forvirre malware-forskere, har forfatterne av Poison Frog-bakdøren endret samlingsdatoen for trusselen mot en som er satt i fremtiden.

Til tross for noen feil fra OilRig APT, er ikke denne hackinggruppen en som skal undervurderes. OilRig-hacking-gruppen kan oppdatere Poison Frog-bakdøren når som helst i fremtiden og fjerne feilene, og dermed gjøre trusselen mye mer potent.