Poison Frog
En av de mest ökända hackgrupperna från Mellanöstern kommer från Iran och får namnet OilRig. De är också kända under aliasen HelixKitten IRN2 och APT34 (Advanced Persistent Threat). Hackningsgruppen OilRig började operera redan 2014 och sedan dess är de kända för att ha gjort anspråk på otaliga offer. Vanligtvis följer OilRig-gruppen mål som är verksamma inom kemi-, energi- och telekommunikationsindustrin. De tenderar också att rikta in sig på finansiella såväl som statliga institutioner. Vissa experter anser att OilRig-hacking-gruppen sponsras av den iranska regeringen och används för att utföra attacker som tjänar till att främja Irans intressen.
Innehållsförteckning
Poison Frog Backdoor är skriven i C #
Nyligen har APT34 väckt uppmärksamhet från cybersecurity-forskare med ett nytt hot som kallas Poison Frog. Poison Frog-hotet är en trojansk bakdörr som är skriven på programmeringsspråket C #. Hot som är skrivna i C # tenderar inte att lysa med sina förmågor. Vanligtvis tjänar de enda till att injicera PowerShell-skriptet, som sedan körs och snabbt utplånas efter attacken har ägt rum. I likhet med logiken som finns i dropparen PowerShell-skript, fungerar PowerShell-skriptet inbäddat på samma sätt. DNS- och HTTP-bakdörren finns under de två långa strängarna dns_ag och http_ag, som är bas64-kodade. Uppgiften schemaläggningstjänsten hjälper Poison Frog bakdörren att få uthållighet på den komprometterade värden.
Poison Frog Threat är maskerat som ett legitimt verktyg
När smittat det riktade systemet skulle Poison Frog-hotet maskera sig själv som en legitim applikation som heter Cisco AnyConnect. Naturligtvis är Poison Frog-bakdörren inte kopplad till det äkta Cisco AnyConnect-verktyget. Poison Frog-hotet visar en falsk layout och en knapp som heter "Connect". Men om användaren klickar på knappen "Anslut" kommer de att visas med ett popup-fönster som visar ett felmeddelande. Detta är ett trick som är tänkt att lura användare att tro att det finns ett problem med deras Internet-anslutning.
OilRig-gruppen har gjort flera fel vid utvecklingen av Poison Frog Threat
När cybersecurity-experter studerade Poison Frog-bakdörren upptäckte de ett antal fel som OilRig-hacking-gruppen har gjort. Ett av de upptäckta exemplen är oförmögen att utföra eftersom skaparna av hotet har använt ett felaktigt kommando "Poweeershell.exe" istället för att använda "Powershell.exe." I andra prover upptäckte experter att PDB-banan var inne i hotet. För att förvirra skadlig forskare har författarna till Poison Frog-bakdörren ändrat sammanställningsdatumet för hotet mot en som kommer att ställas i framtiden.
Trots vissa fel gjorda av OilRig APT är den här hackgruppen inte en som ska underskattas. OilRig-hacking-gruppen kan uppdatera Poison Frog-bakdörren vid någon tidpunkt i framtiden och rensa bort felen, vilket gör hotet mycket kraftigare.
