Ядовитая лягушка
Карта показателей угрозы
Карта оценки угроз EnigmaSoft
EnigmaSoft Threat Scorecards — это отчеты об оценке различных вредоносных программ, которые были собраны и проанализированы нашей исследовательской группой. EnigmaSoft Threat Scorecards оценивает и ранжирует угрозы, используя несколько показателей, включая реальные и потенциальные факторы риска, тенденции, частоту, распространенность и постоянство. EnigmaSoft Threat Scorecards регулярно обновляются на основе данных и показателей наших исследований и полезны для широкого круга пользователей компьютеров, от конечных пользователей, ищущих решения для удаления вредоносных программ из своих систем, до экспертов по безопасности, анализирующих угрозы.
EnigmaSoft Threat Scorecards отображает разнообразную полезную информацию, в том числе:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Уровень серьезности: определенный уровень серьезности объекта, представленный в числовом виде на основе нашего процесса моделирования рисков и исследований, как описано в наших критериях оценки угроз .
Зараженные компьютеры: количество подтвержденных и предполагаемых случаев конкретной угрозы, обнаруженной на зараженных компьютерах, по данным SpyHunter.
См. также Критерии оценки угроз .
| Уровень угрозы: | 80 % (Высокая) |
| Зараженные компьютеры: | 61 |
| Первый раз: | January 16, 2020 |
| Последний визит: | July 11, 2023 |
| ОС(а) Затронутые: | Windows |
Одна из самых печально известных хакерских групп с Ближнего Востока родом из Ирана и носит название OilRig. Они также известны под псевдонимами HelixKitten IRN2 и APT34 (Advanced Persistent Threat). Хакерская группа OilRig начала свою деятельность еще в 2014 году, и с тех пор, как известно, она унесла множество жертв. Обычно группа OilRig преследует цели, работающие в химической, энергетической и телекоммуникационной отраслях. Они также имеют тенденцию предназначаться для финансовых, а также правительственных учреждений. Некоторые эксперты считают, что хакерская группа OilRig спонсируется иранским правительством и используется для проведения атак, которые служат интересам государства Иран.
Оглавление
Бэкдор «Ядовитая лягушка» написан на C #
Недавно APT34 привлек внимание исследователей кибербезопасности новой угрозой, названной Poison Frog. Угроза Poison Frog - это троянский бэкдор, написанный на языке программирования C #. Угрозы, написанные на C #, не склонны сиять своими возможностями. Как правило, единственной службой для внедрения скрипта PowerShell, который затем выполняется и быстро удаляется после того, как атака произошла. Подобно логике, обнаруженной в сценариях-переносчиках PowerShell, встроенный сценарий PowerShell действует аналогичным образом. Бэкдор DNS и HTTP находится в двух длинных строках dns_ag и http_ag, которые закодированы в base64. Служба планирования задач помогает бэкдору Poison Frog получить постоянство на скомпрометированном хосте.
Угроза отравленной лягушки маскируется как законная утилита
При заражении целевой системы угроза «Ядовитая лягушка» будет маскироваться как легитимное приложение под названием Cisco AnyConnect. Излишне говорить, что бэкдор Poison Frog никоим образом не связан с подлинной утилитой Cisco AnyConnect. Угроза «Ядовитая лягушка» отображает фальшивый макет и кнопку «Подключиться». Тем не менее, если пользователь нажимает кнопку «Подключиться», ему будет показано всплывающее окно с сообщением об ошибке. Это хитрость, которая предназначена для того, чтобы обмануть пользователей, полагая, что существует проблема с их интернет-соединением.
Группа OilRig допустила несколько ошибок при разработке угрозы отравленной лягушки
Когда эксперты по кибербезопасности изучили черный ход Poison Frog, они обнаружили ряд ошибок, которые совершила хакерская группа OilRig. Один из обнаруженных примеров не может быть выполнен, поскольку создатели угрозы использовали неверную команду «Poweeershell.exe» вместо «Powershell.exe». В других примерах эксперты заметили, что путь PDB находился внутри двоичного кода угрозы. Чтобы сбить с толку исследователей вредоносного ПО, авторы бэкдора Poison Frog изменили дату компиляции угрозы, которая будет установлена в будущем.
Несмотря на некоторые ошибки, допущенные OilRig APT, эту группу хакеров нельзя недооценивать. Хакерская группа OilRig может обновить бэкдор Poison Frog в какой-то момент в будущем и устранить ошибки, что делает угрозу намного более сильной.
