Poison Frog
Jedna z najbardziej niesławnych grup hakerskich z Bliskiego Wschodu pochodzi z Iranu i nazywa się OilRig. Są one również znane pod pseudonimami HelixKitten IRN2 i APT34 (Advanced Persistent Threat). Grupa hakerska OilRig rozpoczęła działalność w 2014 roku i od tego czasu wiadomo, że pochłonęła niezliczone ofiary. Zazwyczaj grupa OilRig podąża za celami działającymi w przemyśle chemicznym, energetycznym i telekomunikacyjnym. Mają również tendencję do atakowania instytucji finansowych, a także instytucji rządowych. Niektórzy eksperci uważają, że grupa hakerska OilRig jest sponsorowana przez rząd irański i jest wykorzystywana do przeprowadzania ataków służących realizacji interesów państwa Iranu.
Spis treści
Backdoor Poison Frog jest napisany w C #
Ostatnio APT34 zwrócił uwagę badaczy cyberbezpieczeństwa na nowe zagrożenie nazwane Poison Frog. Zagrożenie Poison Frog to backdoor trojana napisany w języku programowania C #. Zagrożenia napisane w języku C # zwykle nie świecą swoimi możliwościami. Zwykle jedyne służą do wstrzykiwania skryptu PowerShell, który jest następnie wykonywany i szybko usuwany po ataku. Podobnie jak logika w skryptach droppera PowerShell, osadzony skrypt PowerShell działa w ten sam sposób. Backdoor DNS i HTTP znajdują się pod dwoma długimi ciągami dns_ag i http_ag, które są zakodowane w standardzie base64. Usługa planowania zadań pomaga backdoorowi Poison Frog wytrwać w zainfekowanym hoście.
Zagrożenie Trucizną Żabą jest maskowane jako uzasadnione narzędzie
Po zainfekowaniu systemu docelowego zagrożenie Poison Frog zamaskowałoby się jako legalna aplikacja o nazwie Cisco AnyConnect. Nie trzeba dodawać, że backdoor Poison Frog nie jest w żaden sposób powiązany z oryginalnym narzędziem Cisco AnyConnect. Zagrożenie Poison Frog wyświetla fałszywy układ i przycisk z napisem „Połącz”. Jeśli jednak użytkownik kliknie przycisk „Połącz”, zostanie wyświetlone okno podręczne z komunikatem o błędzie. Jest to sztuczka, która ma na celu oszukać użytkowników, aby uwierzyli, że istnieje problem z ich połączeniem internetowym.
Grupa OilRig popełniła kilka błędów przy opracowywaniu zagrożenia zatrutą żabą
Kiedy eksperci ds. Cyberbezpieczeństwa badali backdoor Poison Frog, odkryli szereg błędów popełnianych przez grupę hakerską OilRig. Jedna z wykrytych próbek jest niezdolna do wykonania, ponieważ twórcy zagrożenia użyli niepoprawnego polecenia „Poweeershell.exe” zamiast „Powershell.exe”. W innych próbach eksperci zauważyli, że ścieżka PDB znajdowała się w pliku binarnym zagrożenia. Aby wprowadzić w błąd badaczy szkodliwego oprogramowania, autorzy backdoora Poison Frog zmienili datę kompilacji zagrożenia na tę, która zostanie ustawiona w przyszłości.
Pomimo pewnych błędów popełnianych przez OilRig APT, tej grupy hakerów nie należy lekceważyć. Grupa hakerska OilRig może w pewnym momencie w przyszłości zaktualizować backdoor Poison Frog i usunąć błędy, zwiększając tym samym zagrożenie.
