Gifkikker
Een van de meest beruchte hackgroepen uit het Midden-Oosten is afkomstig uit Iran en draagt de naam OilRig. Ze zijn ook bekend onder de aliassen HelixKitten IRN2 en APT34 (Advanced Persistent Threat). De hackgroep van OilRig begon in 2014 te opereren en sindsdien hebben ze talloze slachtoffers geëist. Gewoonlijk streeft de OilRig-groep naar doelen die actief zijn in de chemische, energie- en telecommunicatie-industrie. Ze hebben ook de neiging zich te richten op zowel financiële als overheidsinstellingen. Sommige experts zijn van mening dat de hackgroep OilRig wordt gesponsord door de Iraanse regering en wordt gebruikt om aanvallen uit te voeren die de belangen van de staat Iran bevorderen.
Inhoudsopgave
De Poison Frog Backdoor is geschreven in C #
Onlangs heeft de APT34 de aandacht getrokken van cybersecurity-onderzoekers met een nieuwe dreiging genaamd Poison Frog. De Poison Frog-dreiging is een Trojaanse achterdeur die is geschreven in de programmeertaal C #. Bedreigingen die zijn geschreven in C # hebben de neiging niet te schitteren met hun mogelijkheden. Gewoonlijk dient de enige om het PowerShell-script te injecteren, dat vervolgens wordt uitgevoerd en snel wordt weggevaagd nadat de aanval heeft plaatsgevonden. Net als de logica in de PowerShell-scripts van de druppelaar, werkt het ingesloten PowerShell-script op dezelfde manier. De DNS- en HTTP-achterdeur zijn te vinden onder de twee lange reeksen dns_ag en http_ag, die base64-gecodeerd zijn. De taakplanningsservice helpt de Poison Frog-achterdeur om persistentie te verkrijgen bij de gecompromitteerde host.
De Poison Frog Threat wordt gemaskeerd als een legitiem hulpprogramma
Na het infecteren van het beoogde systeem, zou de Poison Frog-dreiging zichzelf maskeren als een legitieme applicatie genaamd Cisco AnyConnect. Vanzelfsprekend is de Poison Frog-achterdeur op geen enkele manier verbonden met het echte hulpprogramma Cisco AnyConnect. De Poison Frog-bedreiging toont een nep-lay-out en een knop met de tekst 'Verbinden'. Als de gebruiker echter op de knop 'Verbinden' klikt, krijgt hij een pop-upvenster met een foutmelding. Dit is een truc die bedoeld is om gebruikers voor de gek te houden door te geloven dat er een probleem is met hun internetverbinding.
De OilRig Group heeft verschillende fouten gemaakt bij het ontwikkelen van de Poison Frog Threat
Toen cybersecurity-experts de Poison Frog-achterdeur bestudeerden, ontdekten ze een aantal fouten die de OilRig-hackgroep had gemaakt. Een van de ontdekte voorbeelden kan niet worden uitgevoerd omdat de makers van de dreiging een onjuiste opdracht 'Poweeershell.exe' hebben gebruikt in plaats van 'Powershell.exe'. In andere voorbeelden zagen experts dat het PDB-pad zich in het binaire bestand van de dreiging bevond. Om malwareonderzoekers in verwarring te brengen, hebben de auteurs van de Poison Frog-achterdeur de compilatiedatum van de dreiging gewijzigd in een die zich in de toekomst zal voordoen.
Ondanks enkele fouten gemaakt door de OilRig APT, is deze hackgroep niet een die moet worden onderschat. De hackgroep van OilRig kan de Poison Frog-achterdeur op een bepaald moment in de toekomst bijwerken en de fouten opruimen, waardoor de dreiging veel krachtiger wordt.
