Poison Frog
Karta wyników zagrożenia
Karta wyników zagrożeń EnigmaSoft
EnigmaSoft Threat Scorecards to raporty oceniające różne zagrożenia złośliwym oprogramowaniem, które zostały zebrane i przeanalizowane przez nasz zespół badawczy. EnigmaSoft Threat Scorecards ocenia i klasyfikuje zagrożenia przy użyciu kilku wskaźników, w tym rzeczywistych i potencjalnych czynników ryzyka, trendów, częstotliwości, rozpowszechnienia i trwałości. Karty oceny zagrożeń EnigmaSoft są regularnie aktualizowane na podstawie danych i wskaźników naszych badań i są przydatne dla szerokiego grona użytkowników komputerów, od użytkowników końcowych poszukujących rozwiązań do usuwania złośliwego oprogramowania ze swoich systemów po ekspertów ds. bezpieczeństwa analizujących zagrożenia.
Karty wyników zagrożeń EnigmaSoft wyświetlają wiele przydatnych informacji, w tym:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Poziom ważności: Określony poziom ważności obiektu, przedstawiony liczbowo, na podstawie naszego procesu modelowania ryzyka i badań, jak wyjaśniono w naszych Kryteriach oceny zagrożeń .
Zainfekowane komputery: liczba potwierdzonych i podejrzewanych przypadków określonego zagrożenia wykrytych na zainfekowanych komputerach według danych SpyHunter.
Zobacz także Kryteria oceny zagrożeń .
| Poziom zagrożenia: | 80 % (Wysoka) |
| Zainfekowane komputery: | 61 |
| Pierwszy widziany: | January 16, 2020 |
| Ostatnio widziany: | July 11, 2023 |
| Systemy operacyjne, których dotyczy problem: | Windows |
Jedna z najbardziej niesławnych grup hakerskich z Bliskiego Wschodu pochodzi z Iranu i nazywa się OilRig. Są one również znane pod pseudonimami HelixKitten IRN2 i APT34 (Advanced Persistent Threat). Grupa hakerska OilRig rozpoczęła działalność w 2014 roku i od tego czasu wiadomo, że pochłonęła niezliczone ofiary. Zazwyczaj grupa OilRig podąża za celami działającymi w przemyśle chemicznym, energetycznym i telekomunikacyjnym. Mają również tendencję do atakowania instytucji finansowych, a także instytucji rządowych. Niektórzy eksperci uważają, że grupa hakerska OilRig jest sponsorowana przez rząd irański i jest wykorzystywana do przeprowadzania ataków służących realizacji interesów państwa Iranu.
Spis treści
Backdoor Poison Frog jest napisany w C #
Ostatnio APT34 zwrócił uwagę badaczy cyberbezpieczeństwa na nowe zagrożenie nazwane Poison Frog. Zagrożenie Poison Frog to backdoor trojana napisany w języku programowania C #. Zagrożenia napisane w języku C # zwykle nie świecą swoimi możliwościami. Zwykle jedyne służą do wstrzykiwania skryptu PowerShell, który jest następnie wykonywany i szybko usuwany po ataku. Podobnie jak logika w skryptach droppera PowerShell, osadzony skrypt PowerShell działa w ten sam sposób. Backdoor DNS i HTTP znajdują się pod dwoma długimi ciągami dns_ag i http_ag, które są zakodowane w standardzie base64. Usługa planowania zadań pomaga backdoorowi Poison Frog wytrwać w zainfekowanym hoście.
Zagrożenie Trucizną Żabą jest maskowane jako uzasadnione narzędzie
Po zainfekowaniu systemu docelowego zagrożenie Poison Frog zamaskowałoby się jako legalna aplikacja o nazwie Cisco AnyConnect. Nie trzeba dodawać, że backdoor Poison Frog nie jest w żaden sposób powiązany z oryginalnym narzędziem Cisco AnyConnect. Zagrożenie Poison Frog wyświetla fałszywy układ i przycisk z napisem „Połącz”. Jeśli jednak użytkownik kliknie przycisk „Połącz”, zostanie wyświetlone okno podręczne z komunikatem o błędzie. Jest to sztuczka, która ma na celu oszukać użytkowników, aby uwierzyli, że istnieje problem z ich połączeniem internetowym.
Grupa OilRig popełniła kilka błędów przy opracowywaniu zagrożenia zatrutą żabą
Kiedy eksperci ds. Cyberbezpieczeństwa badali backdoor Poison Frog, odkryli szereg błędów popełnianych przez grupę hakerską OilRig. Jedna z wykrytych próbek jest niezdolna do wykonania, ponieważ twórcy zagrożenia użyli niepoprawnego polecenia „Poweeershell.exe” zamiast „Powershell.exe”. W innych próbach eksperci zauważyli, że ścieżka PDB znajdowała się w pliku binarnym zagrożenia. Aby wprowadzić w błąd badaczy szkodliwego oprogramowania, autorzy backdoora Poison Frog zmienili datę kompilacji zagrożenia na tę, która zostanie ustawiona w przyszłości.
Pomimo pewnych błędów popełnianych przez OilRig APT, tej grupy hakerów nie należy lekceważyć. Grupa hakerska OilRig może w pewnym momencie w przyszłości zaktualizować backdoor Poison Frog i usunąć błędy, zwiększając tym samym zagrożenie.
