Giftfrosch
Wertungsliste der Bedrohung
EnigmaSoft Bedrohungs-Scorecard
EnigmaSoft Threat Scorecards sind Bewertungsberichte für verschiedene Malware-Bedrohungen, die von unserem Forschungsteam gesammelt und analysiert wurden. EnigmaSoft Threat Scorecards bewerten und stufen Bedrohungen anhand verschiedener Metriken ein, darunter reale und potenzielle Risikofaktoren, Trends, Häufigkeit, Prävalenz und Persistenz. EnigmaSoft Threat Scorecards werden regelmäßig auf der Grundlage unserer Forschungsdaten und -metriken aktualisiert und sind für eine Vielzahl von Computerbenutzern nützlich, von Endbenutzern, die nach Lösungen suchen, um Malware von ihren Systemen zu entfernen, bis hin zu Sicherheitsexperten, die Bedrohungen analysieren.
EnigmaSoft Threat Scorecards zeigen eine Vielzahl nützlicher Informationen an, darunter:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Schweregrad: Der ermittelte Schweregrad eines Objekts, numerisch dargestellt, basierend auf unserem Risikomodellierungsprozess und unserer Forschung, wie in unseren Kriterien zur Bedrohungsbewertung erläutert.
Infizierte Computer: Die Anzahl der bestätigten und vermuteten Fälle einer bestimmten Bedrohung, die auf infizierten Computern entdeckt wurden, wie von SpyHunter gemeldet.
Siehe auch Kriterien für die Bedrohungsbewertung .
| Bedrohungsstufe: | 80 % (Hoch) |
| Infizierte Computer: | 61 |
| Zum ersten Mal gesehen: | January 16, 2020 |
| Zuletzt gesehen: | July 11, 2023 |
| Betroffene Betriebssysteme: | Windows |
Eine der berüchtigtsten Hacking-Gruppen aus dem Nahen Osten stammt aus dem Iran und heißt OilRig. Sie sind auch unter den Decknamen HelixKitten IRN2 und APT34 (Advanced Persistent Threat) bekannt. Die Hacking-Gruppe OilRig wurde 2014 gegründet und hat seitdem zahlreiche Opfer gefordert. Normalerweise strebt die OilRig-Gruppe Ziele an, die in der Chemie-, Energie- und Telekommunikationsbranche tätig sind. Sie zielen auch auf finanzielle und staatliche Institutionen ab. Einige Experten glauben, dass die OilRig-Hacking-Gruppe von der iranischen Regierung gesponsert wird und dazu dient, Angriffe durchzuführen, die den Interessen des iranischen Staates dienen.
Inhaltsverzeichnis
Die Poison Frog Backdoor ist in C # geschrieben
Kürzlich hat der APT34 die Aufmerksamkeit von Cybersicherheitsforschern mit einer neuen Bedrohung namens Poison Frog auf sich gezogen. Die Poison Frog-Bedrohung ist eine Trojaner-Hintertür, die in der Programmiersprache C # geschrieben ist. In C # geschriebene Bedrohungen scheinen nicht mit ihren Fähigkeiten zu glänzen. In der Regel wird nur das PowerShell-Skript injiziert, das dann ausgeführt und nach dem Angriff schnell gelöscht wird. Ähnlich wie die Logik in den PowerShell-Dropper-Skripten verhält sich das eingebettete PowerShell-Skript auf dieselbe Weise. Die DNS- und HTTP-Hintertür befinden sich unter den beiden langen Zeichenfolgen dns_ag und http_ag, die base64-codiert sind. Der Aufgabenplanungsdienst hilft der Poison Frog-Hintertür dabei, auf dem gefährdeten Host dauerhaft zu bleiben.
Die Giftfrosch-Bedrohung wird als legitimes Hilfsprogramm maskiert
Bei einer Infektion des Zielsystems würde sich die Poison Frog-Bedrohung als legitime Anwendung mit dem Namen Cisco AnyConnect tarnen. Selbstverständlich ist die Poison Frog-Hintertür in keiner Weise mit dem Original-Dienstprogramm Cisco AnyConnect verbunden. Die Poison Frog-Bedrohung zeigt ein falsches Layout und eine Schaltfläche mit der Aufschrift "Verbinden" an. Wenn der Benutzer jedoch auf die Schaltfläche "Verbinden" klickt, wird ein Popup-Fenster mit einer Fehlermeldung angezeigt. Dies ist ein Trick, der die Benutzer täuschen soll, dass es ein Problem mit ihrer Internetverbindung gibt.
Die OilRig-Gruppe hat bei der Entwicklung der Giftfrosch-Bedrohung mehrere Fehler gemacht
Als Cybersicherheitsexperten die Hintertür von Poison Frog untersuchten, stellten sie eine Reihe von Fehlern fest, die die OilRig-Hacking-Gruppe begangen hat. Eines der gefundenen Beispiele kann nicht ausgeführt werden, weil die Ersteller der Bedrohung einen falschen Befehl "Poweeershell.exe" anstelle von "Powershell.exe" verwendet haben. In anderen Beispielen stellten Experten fest, dass sich der PDB-Pfad innerhalb der Binärdatei der Bedrohung befand. Um Malware-Forscher zu verwirren, haben die Autoren der Poison Frog-Hintertür das Erstellungsdatum der Bedrohung auf ein zukünftiges Datum geändert.
Trotz einiger Fehler der OilRig APT ist diese Hacking-Gruppe nicht zu unterschätzen. Die OilRig-Hacking-Gruppe aktualisiert möglicherweise zu einem späteren Zeitpunkt die Poison Frog-Hintertür und behebt die Fehler, wodurch die Bedrohung erheblich größer wird.
