Giftfrosch
Eine der berüchtigtsten Hacking-Gruppen aus dem Nahen Osten stammt aus dem Iran und heißt OilRig. Sie sind auch unter den Decknamen HelixKitten IRN2 und APT34 (Advanced Persistent Threat) bekannt. Die Hacking-Gruppe OilRig wurde 2014 gegründet und hat seitdem zahlreiche Opfer gefordert. Normalerweise strebt die OilRig-Gruppe Ziele an, die in der Chemie-, Energie- und Telekommunikationsbranche tätig sind. Sie zielen auch auf finanzielle und staatliche Institutionen ab. Einige Experten glauben, dass die OilRig-Hacking-Gruppe von der iranischen Regierung gesponsert wird und dazu dient, Angriffe durchzuführen, die den Interessen des iranischen Staates dienen.
Inhaltsverzeichnis
Die Poison Frog Backdoor ist in C # geschrieben
Kürzlich hat der APT34 die Aufmerksamkeit von Cybersicherheitsforschern mit einer neuen Bedrohung namens Poison Frog auf sich gezogen. Die Poison Frog-Bedrohung ist eine Trojaner-Hintertür, die in der Programmiersprache C # geschrieben ist. In C # geschriebene Bedrohungen scheinen nicht mit ihren Fähigkeiten zu glänzen. In der Regel wird nur das PowerShell-Skript injiziert, das dann ausgeführt und nach dem Angriff schnell gelöscht wird. Ähnlich wie die Logik in den PowerShell-Dropper-Skripten verhält sich das eingebettete PowerShell-Skript auf dieselbe Weise. Die DNS- und HTTP-Hintertür befinden sich unter den beiden langen Zeichenfolgen dns_ag und http_ag, die base64-codiert sind. Der Aufgabenplanungsdienst hilft der Poison Frog-Hintertür dabei, auf dem gefährdeten Host dauerhaft zu bleiben.
Die Giftfrosch-Bedrohung wird als legitimes Hilfsprogramm maskiert
Bei einer Infektion des Zielsystems würde sich die Poison Frog-Bedrohung als legitime Anwendung mit dem Namen Cisco AnyConnect tarnen. Selbstverständlich ist die Poison Frog-Hintertür in keiner Weise mit dem Original-Dienstprogramm Cisco AnyConnect verbunden. Die Poison Frog-Bedrohung zeigt ein falsches Layout und eine Schaltfläche mit der Aufschrift "Verbinden" an. Wenn der Benutzer jedoch auf die Schaltfläche "Verbinden" klickt, wird ein Popup-Fenster mit einer Fehlermeldung angezeigt. Dies ist ein Trick, der die Benutzer täuschen soll, dass es ein Problem mit ihrer Internetverbindung gibt.
Die OilRig-Gruppe hat bei der Entwicklung der Giftfrosch-Bedrohung mehrere Fehler gemacht
Als Cybersicherheitsexperten die Hintertür von Poison Frog untersuchten, stellten sie eine Reihe von Fehlern fest, die die OilRig-Hacking-Gruppe begangen hat. Eines der gefundenen Beispiele kann nicht ausgeführt werden, weil die Ersteller der Bedrohung einen falschen Befehl "Poweeershell.exe" anstelle von "Powershell.exe" verwendet haben. In anderen Beispielen stellten Experten fest, dass sich der PDB-Pfad innerhalb der Binärdatei der Bedrohung befand. Um Malware-Forscher zu verwirren, haben die Autoren der Poison Frog-Hintertür das Erstellungsdatum der Bedrohung auf ein zukünftiges Datum geändert.
Trotz einiger Fehler der OilRig APT ist diese Hacking-Gruppe nicht zu unterschätzen. Die OilRig-Hacking-Gruppe aktualisiert möglicherweise zu einem späteren Zeitpunkt die Poison Frog-Hintertür und behebt die Fehler, wodurch die Bedrohung erheblich größer wird.
