Ядовитая лягушка
Одна из самых печально известных хакерских групп с Ближнего Востока родом из Ирана и носит название OilRig. Они также известны под псевдонимами HelixKitten IRN2 и APT34 (Advanced Persistent Threat). Хакерская группа OilRig начала свою деятельность еще в 2014 году, и с тех пор, как известно, она унесла множество жертв. Обычно группа OilRig преследует цели, работающие в химической, энергетической и телекоммуникационной отраслях. Они также имеют тенденцию предназначаться для финансовых, а также правительственных учреждений. Некоторые эксперты считают, что хакерская группа OilRig спонсируется иранским правительством и используется для проведения атак, которые служат интересам государства Иран.
Оглавление
Бэкдор «Ядовитая лягушка» написан на C #
Недавно APT34 привлек внимание исследователей кибербезопасности новой угрозой, названной Poison Frog. Угроза Poison Frog - это троянский бэкдор, написанный на языке программирования C #. Угрозы, написанные на C #, не склонны сиять своими возможностями. Как правило, единственной службой для внедрения скрипта PowerShell, который затем выполняется и быстро удаляется после того, как атака произошла. Подобно логике, обнаруженной в сценариях-переносчиках PowerShell, встроенный сценарий PowerShell действует аналогичным образом. Бэкдор DNS и HTTP находится в двух длинных строках dns_ag и http_ag, которые закодированы в base64. Служба планирования задач помогает бэкдору Poison Frog получить постоянство на скомпрометированном хосте.
Угроза отравленной лягушки маскируется как законная утилита
При заражении целевой системы угроза «Ядовитая лягушка» будет маскироваться как легитимное приложение под названием Cisco AnyConnect. Излишне говорить, что бэкдор Poison Frog никоим образом не связан с подлинной утилитой Cisco AnyConnect. Угроза «Ядовитая лягушка» отображает фальшивый макет и кнопку «Подключиться». Тем не менее, если пользователь нажимает кнопку «Подключиться», ему будет показано всплывающее окно с сообщением об ошибке. Это хитрость, которая предназначена для того, чтобы обмануть пользователей, полагая, что существует проблема с их интернет-соединением.
Группа OilRig допустила несколько ошибок при разработке угрозы отравленной лягушки
Когда эксперты по кибербезопасности изучили черный ход Poison Frog, они обнаружили ряд ошибок, которые совершила хакерская группа OilRig. Один из обнаруженных примеров не может быть выполнен, поскольку создатели угрозы использовали неверную команду «Poweeershell.exe» вместо «Powershell.exe». В других примерах эксперты заметили, что путь PDB находился внутри двоичного кода угрозы. Чтобы сбить с толку исследователей вредоносного ПО, авторы бэкдора Poison Frog изменили дату компиляции угрозы, которая будет установлена в будущем.
Несмотря на некоторые ошибки, допущенные OilRig APT, эту группу хакеров нельзя недооценивать. Хакерская группа OilRig может обновить бэкдор Poison Frog в какой-то момент в будущем и устранить ошибки, что делает угрозу намного более сильной.
