Grenouille empoisonnée
L'un des groupes de piratage les plus tristement célèbres du Moyen-Orient est originaire d'Iran et s'appelle OilRig. Ils sont également connus sous les alias HelixKitten IRN2 et APT34 (Advanced Persistent Threat). Le groupe de piratage OilRig a commencé à fonctionner en 2014, et depuis lors, ils sont connus pour avoir fait d'innombrables victimes. Habituellement, le groupe OilRig poursuit des cibles opérant dans les secteurs de la chimie, de l'énergie et des télécommunications. Ils ont également tendance à cibler les institutions financières et gouvernementales. Certains experts pensent que le groupe de piratage OilRig est parrainé par le gouvernement iranien et est utilisé pour mener des attaques qui servent à promouvoir les intérêts de l'État iranien.
Table des matières
La porte dérobée de Poison Frog est écrite en C #
Récemment, l'APT34 a attiré l'attention des chercheurs en cybersécurité avec une nouvelle menace surnommée Poison Frog. La menace Poison Frog est une porte dérobée de cheval de Troie écrite dans le langage de programmation C #. Les menaces écrites en C # n'ont pas tendance à briller avec leurs capacités. Habituellement, le seul sert à injecter le script PowerShell, qui est ensuite exécuté et rapidement effacé après que l'attaque ait eu lieu. Semblable à la logique trouvée dans les scripts PowerShell de dropper, le script PowerShell incorporé agit de la même manière. La porte dérobée DNS et HTTP se trouve sous les deux longues chaînes dns_ag et http_ag, qui sont codées en base64. Le service de planification des tâches aide la porte dérobée Poison Frog à gagner en persistance sur l'hôte compromis.
La menace de grenouille empoisonnée est masquée comme un utilitaire légitime
En infectant le système ciblé, la menace Poison Frog se masquerait comme une application légitime appelée Cisco AnyConnect. Inutile de dire que la porte dérobée Poison Frog n'est en aucun cas affiliée à l'utilitaire Cisco AnyConnect authentique. La menace Poison Frog affiche une fausse mise en page et un bouton qui indique `` Connecter ''. Cependant, si l'utilisateur clique sur le bouton «Se connecter», une fenêtre contextuelle s'affiche avec un message d'erreur. Il s'agit d'une astuce destinée à tromper les utilisateurs en leur faisant croire qu'il y a un problème avec leur connexion Internet.
Le groupe OilRig a fait plusieurs erreurs lors du développement de la menace de grenouille empoisonnée
Lorsque les experts en cybersécurité ont étudié la porte dérobée de Poison Frog, ils ont découvert un certain nombre d'erreurs commises par le groupe de piratage OilRig. L'un des exemples découverts est incapable de s'exécuter car les créateurs de la menace ont utilisé une commande incorrecte «Poweeershell.exe» au lieu d'utiliser «Powershell.exe». Dans d'autres échantillons, les experts ont remarqué que le chemin PDB était à l'intérieur du binaire de la menace. Afin de confondre les chercheurs de logiciels malveillants, les auteurs de la porte dérobée Poison Frog ont modifié la date de compilation de la menace pour celle qui est définie à l'avenir.
Malgré quelques erreurs commises par le OilRig APT, ce groupe de piratage n'est pas à sous-estimer. Le groupe de piratage OilRig peut mettre à jour la porte dérobée de Poison Frog à un moment donné dans le futur et éliminer les erreurs, rendant ainsi la menace beaucoup plus puissante.
