毒カエル

中東の最も悪名高いハッキンググループの1つはイランを起源とし、OilRigという名前で呼ばれています。また、別名HelixKitten IRN2およびAPT34（Advanced Persistent Threat）で知られています。 OilRigハッキンググループは2014年に営業を開始し、それ以来、無数の犠牲者を主張していることが知られています。通常、OilRigグループは、化学、エネルギー、および通信業界で活動するターゲットを追いかけます。また、政府機関だけでなく、金融機関もターゲットにする傾向があります。一部の専門家は、OilRigハッキンググループがイラン政府の支援を受けており、イラン国の利益を促進する攻撃を実行するために使用されていると考えています。

毒カエルのバックドアはC＃で書かれています

最近、APT34は、Poison Frogと呼ばれる新しい脅威でサイバーセキュリティ研究者の注目を集めています。 Poison Frog脅威は、C＃プログラミング言語で記述されたトロイの木馬バックドアです。 C＃で書かれた脅威は、その能力で輝いている傾向はありません。通常、PowerShellスクリプトを挿入する唯一の役割は、攻撃が実行された後に実行され、すばやく消去されることです。ドロッパーPowerShellスクリプトにあるロジックと同様に、埋め込まれたPowerShellスクリプトも同じように機能します。 DNSおよびHTTPバックドアは、base64でエンコードされた2つの長い文字列dns_agおよびhttp_agの下にあります。タスクスケジューリングサービスは、Poison Frogバックドアが侵害されたホストで永続性を獲得するのに役立ちます。

毒カエルの脅威は正当なユーティリティとしてマスクされています

ターゲットシステムに感染すると、Poison Frog脅威は、Cisco AnyConnectと呼ばれる正当なアプリケーションとして自分自身を隠します。言うまでもなく、Poison Frogバックドアは、本物のCisco AnyConnectユーティリティとはまったく関係ありません。 Poison Frog脅威は、偽のレイアウトと「接続」というボタンを表示します。ただし、ユーザーが[接続]ボタンをクリックすると、エラーメッセージを表示するポップアップウィンドウが表示されます。これは、インターネット接続に問題があるとユーザーを信じ込ませるためのトリックです。

OilRigグループは、毒カエルの脅威を開発する際にいくつかのエラーを犯しました

サイバーセキュリティの専門家がPoison Frogバックドアを調べたところ、OilRigハッキンググループが犯した多くのエラーを発見しました。発見されたサンプルの1つは、脅威の作成者が「Powershell.exe」ではなく誤ったコマンド「Poweeershell.exe」を使用したため、実行できません。他のサンプルでは、専門家はPDBパスが脅威のバイナリ内にあることを発見しました。マルウェア研究者を混乱させるために、Poison Frogバックドアの作成者は、脅威のコンパイル日付を将来設定される日付に変更しました。

OilRig APTによって行われたいくつかのエラーにもかかわらず、このハッキンググループは過小評価されるべきグループではありません。 OilRigハッキンググループは、将来のある時点でPoison Frogバックドアを更新し、エラーをクリアして、脅威をより強力にする可能性があります。