Poison Frog
Një nga grupet më famëkeq të hakerave nga Lindja e Mesme ka origjinë nga Irani dhe shkon me emrin OilRig. Ato njihen gjithashtu nën pseudonimet HelixKitten IRN2, dhe APT34 (Kërcënim i Përhershëm i Përhershëm). Grupi i hakerave OilRig filloi të veprojë përsëri në vitin 2014, dhe që nga atëherë, ata dihen se kanë pohuar viktima të panumërta. Zakonisht, grupi OilRig shkon pas objektivave që veprojnë në industritë kimike, energjetike dhe telekomunikuese. Ato gjithashtu kanë tendencë të synojnë institucionet financiare, si dhe institucionet qeveritare. Disa ekspertë besojnë se grupi haker i OilRig sponsorizohet nga qeveria iraniane dhe është përdorur për të kryer sulme që shërbejnë për të çuar më tej interesat e shtetit të Iranit.
Tabela e Përmbajtjes
Poison Frog Backdoor është shkruar në C #
Kohët e fundit, APT34 ka tërhequr vëmendjen e studiuesve të sigurisë në internet me një kërcënim të ri të quajtur Poison Frog. Kërcënimi Poison Frog është një prapavijë Trojan që është shkruar në gjuhën e programimit C #. Kërcënimet e shkruara në C # nuk kanë tendencë të shkëlqejnë me aftësitë e tyre. Zakonisht, shërbimi i vetëm për të injektuar skriptin PowerShell, i cili më pas ekzekutohet dhe fshihet shpejt pasi të ketë ndodhur sulmi. Ngjashëm me logjikën e gjetur në skriptet dropper PowerShell, skriptet PowerShell të ngulitura veprojnë në të njëjtën mënyrë. Mbrapa DNS dhe HTTP gjenden nën dy vargjet e gjata dns_ag dhe http_ag, të cilat janë të kodifikuar me bazën 64. Shërbimi i planifikimit të detyrave ndihmon në prapavijë të Poison Frog që të fitojë këmbëngulje ndaj hostit të kompromentuar.
Kërcënimi i Poison Frog është maskuar si një mjet i ligjshëm
Pas infektimit të sistemit të synuar, kërcënimi Poison Frog do të maskonte veten si një aplikim të ligjshëm të quajtur Cisco AnyConnect. Lessshtë e panevojshme të thuhet, prapaskena e Poison Frog nuk është në asnjë mënyrë të lidhur me mjetin origjinal Cisco AnyConnect. Kërcënimi Poison Frog tregon një paraqitje të rreme dhe një buton që lexon 'Lidhu'. Sidoqoftë, nëse përdoruesi klikon në butonin 'Lidhu', ata do të paraqiten me një dritare që shfaqet që tregon një mesazh gabimi. Ky është një mashtrim që ka për qëllim të mashtrojë përdoruesit të besojnë se ekziston një problem me lidhjen e tyre në internet.
Grupi OilRig ka bërë disa gabime kur zhvilloni kërcënimin e helmit nga bretkosat
Kur ekspertët e sigurisë në internet studiuan prapavijën e Poison Frog, ata zbuluan një numër gabimesh që ka bërë grupi haker i OilRig. Një prej mostrave të zbuluar është i paaftë për ekzekutim sepse krijuesit e kërcënimit kanë përdorur një komandë të pasaktë 'Poweeershell.exe' në vend që të përdorin 'Powershell.exe'. Në mostrat e tjera, ekspertët vërejtën se shtegu i PDB ishte brenda binarit të kërcënimit. Në mënyrë që të hutojnë studiuesit e malware, autorët e prapavijës Poison Frog kanë ndryshuar datën e përpilimit të kërcënimit për atë që është vendosur në të ardhmen.
Megjithë disa gabime të bëra nga OilRig APT, ky grup hakerimi nuk është ai që duhet të nënvlerësohet. Grupi i hakerave OilRig mund të azhurnojë prapavijën e Poison Frog në një pikë në të ardhmen dhe të pastrojë gabimet, duke e bërë kërcënimin shumë më të fuqishëm.
