Poison Frog
Karta e rezultateve të kërcënimit
EnigmaSoft Threat Scorecard
Kartat e rezultateve të kërcënimit EnigmaSoft janë raporte vlerësimi për kërcënime të ndryshme malware, të cilat janë mbledhur dhe analizuar nga ekipi ynë i kërkimit. Kartat e rezultateve të EnigmaSoft Threat vlerësojnë dhe renditin kërcënimet duke përdorur disa metrika, duke përfshirë faktorët e rrezikut të botës reale dhe të mundshme, tendencat, shpeshtësinë, prevalencën dhe qëndrueshmërinë. Kartat e rezultateve të EnigmaSoft Threat përditësohen rregullisht bazuar në të dhënat dhe metrikat tona të kërkimit dhe janë të dobishme për një gamë të gjerë përdoruesish kompjuterësh, nga përdoruesit fundorë që kërkojnë zgjidhje për të hequr malware nga sistemet e tyre deri tek ekspertët e sigurisë që analizojnë kërcënimet.
Kartat e rezultateve të EnigmaSoft Threat shfaqin një sërë informacionesh të dobishme, duke përfshirë:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Niveli i ashpërsisë: Niveli i përcaktuar i ashpërsisë së një objekti, i përfaqësuar numerikisht, bazuar në procesin dhe kërkimin tonë të modelimit të rrezikut, siç shpjegohet në Kriteret tona të Vlerësimit të Kërcënimit .
Kompjuterët e infektuar: Numri i rasteve të konfirmuara dhe të dyshuara të një kërcënimi të veçantë të zbuluar në kompjuterët e infektuar siç raportohet nga SpyHunter.
Shihni gjithashtu Kriteret e Vlerësimit të Kërcënimit .
| Niveli i Kërcënimit: | 80 % (Lartë) |
| Kompjuterët e infektuar: | 61 |
| Parë për herë të parë: | January 16, 2020 |
| Parë për herë të fundit: | July 11, 2023 |
| OS/OS të prekura: | Windows |
Një nga grupet më famëkeq të hakerave nga Lindja e Mesme ka origjinë nga Irani dhe shkon me emrin OilRig. Ato njihen gjithashtu nën pseudonimet HelixKitten IRN2, dhe APT34 (Kërcënim i Përhershëm i Përhershëm). Grupi i hakerave OilRig filloi të veprojë përsëri në vitin 2014, dhe që nga atëherë, ata dihen se kanë pohuar viktima të panumërta. Zakonisht, grupi OilRig shkon pas objektivave që veprojnë në industritë kimike, energjetike dhe telekomunikuese. Ato gjithashtu kanë tendencë të synojnë institucionet financiare, si dhe institucionet qeveritare. Disa ekspertë besojnë se grupi haker i OilRig sponsorizohet nga qeveria iraniane dhe është përdorur për të kryer sulme që shërbejnë për të çuar më tej interesat e shtetit të Iranit.
Tabela e Përmbajtjes
Poison Frog Backdoor është shkruar në C #
Kohët e fundit, APT34 ka tërhequr vëmendjen e studiuesve të sigurisë në internet me një kërcënim të ri të quajtur Poison Frog. Kërcënimi Poison Frog është një prapavijë Trojan që është shkruar në gjuhën e programimit C #. Kërcënimet e shkruara në C # nuk kanë tendencë të shkëlqejnë me aftësitë e tyre. Zakonisht, shërbimi i vetëm për të injektuar skriptin PowerShell, i cili më pas ekzekutohet dhe fshihet shpejt pasi të ketë ndodhur sulmi. Ngjashëm me logjikën e gjetur në skriptet dropper PowerShell, skriptet PowerShell të ngulitura veprojnë në të njëjtën mënyrë. Mbrapa DNS dhe HTTP gjenden nën dy vargjet e gjata dns_ag dhe http_ag, të cilat janë të kodifikuar me bazën 64. Shërbimi i planifikimit të detyrave ndihmon në prapavijë të Poison Frog që të fitojë këmbëngulje ndaj hostit të kompromentuar.
Kërcënimi i Poison Frog është maskuar si një mjet i ligjshëm
Pas infektimit të sistemit të synuar, kërcënimi Poison Frog do të maskonte veten si një aplikim të ligjshëm të quajtur Cisco AnyConnect. Lessshtë e panevojshme të thuhet, prapaskena e Poison Frog nuk është në asnjë mënyrë të lidhur me mjetin origjinal Cisco AnyConnect. Kërcënimi Poison Frog tregon një paraqitje të rreme dhe një buton që lexon 'Lidhu'. Sidoqoftë, nëse përdoruesi klikon në butonin 'Lidhu', ata do të paraqiten me një dritare që shfaqet që tregon një mesazh gabimi. Ky është një mashtrim që ka për qëllim të mashtrojë përdoruesit të besojnë se ekziston një problem me lidhjen e tyre në internet.
Grupi OilRig ka bërë disa gabime kur zhvilloni kërcënimin e helmit nga bretkosat
Kur ekspertët e sigurisë në internet studiuan prapavijën e Poison Frog, ata zbuluan një numër gabimesh që ka bërë grupi haker i OilRig. Një prej mostrave të zbuluar është i paaftë për ekzekutim sepse krijuesit e kërcënimit kanë përdorur një komandë të pasaktë 'Poweeershell.exe' në vend që të përdorin 'Powershell.exe'. Në mostrat e tjera, ekspertët vërejtën se shtegu i PDB ishte brenda binarit të kërcënimit. Në mënyrë që të hutojnë studiuesit e malware, autorët e prapavijës Poison Frog kanë ndryshuar datën e përpilimit të kërcënimit për atë që është vendosur në të ardhmen.
Megjithë disa gabime të bëra nga OilRig APT, ky grup hakerimi nuk është ai që duhet të nënvlerësohet. Grupi i hakerave OilRig mund të azhurnojë prapavijën e Poison Frog në një pikë në të ardhmen dhe të pastrojë gabimet, duke e bërë kërcënimin shumë më të fuqishëm.
