Rana Venenosa
Uno de los grupos de piratería más infames del Medio Oriente se origina en Irán y se conoce con el nombre de OilRig. También se conocen con los alias HelixKitten IRN2 y APT34 (Advanced Persistent Threat). El grupo de pirateo OilRig comenzó a operar en 2014, y desde entonces, se sabe que han reclamado innumerables víctimas. Por lo general, el grupo OilRig persigue objetivos que operan en las industrias química, energética y de telecomunicaciones. También tienden a apuntar a instituciones financieras y gubernamentales. Algunos expertos creen que el grupo de piratería OilRig está patrocinado por el gobierno iraní y se utiliza para llevar a cabo ataques que sirven para promover los intereses del estado de Irán.
Tabla de contenido
La puerta trasera de la Rana Venenosa está escrita en C #
Recientemente, el APT34 ha atraído la atención de los investigadores de ciberseguridad con una nueva amenaza denominada Poison Frog. La amenaza Poison Frog es una puerta trasera troyana que está escrita en el lenguaje de programación C #. Las amenazas escritas en C # no tienden a brillar con sus capacidades. Por lo general, el único servicio para inyectar el script de PowerShell, que luego se ejecuta y se borra rápidamente después de que se haya producido el ataque. Similar a la lógica que se encuentra en los scripts de PowerShell del cuentagotas, el script incrustado de PowerShell actúa de la misma manera. Las puertas traseras DNS y HTTP se encuentran debajo de las dos cadenas largas dns_ag y http_ag, que están codificadas en base64. El servicio de programación de tareas ayuda a la puerta trasera de Poison Frog a ganar persistencia en el host comprometido.
La amenaza de la rana venenosa está enmascarada como una utilidad legítima
Al infectar el sistema objetivo, la amenaza Poison Frog se enmascararía como una aplicación legítima llamada Cisco AnyConnect. No hace falta decir que la puerta trasera de Poison Frog no está afiliada de ninguna manera con la utilidad genuina Cisco AnyConnect. La amenaza Poison Frog muestra un diseño falso y un botón que dice 'Conectar'. Sin embargo, si el usuario hace clic en el botón 'Conectar', se le presentará una ventana emergente que muestra un mensaje de error. Este es un truco que pretende engañar a los usuarios para que crean que hay un problema con su conexión a Internet.
El grupo OilRig ha cometido varios errores al desarrollar la amenaza de la rana venenosa
Cuando los expertos en ciberseguridad estudiaron la puerta trasera de la Rana Venenosa, descubrieron una serie de errores que ha cometido el grupo de piratería OilRig. Una de las muestras descubiertas es incapaz de ejecutarse porque los creadores de la amenaza han usado un comando incorrecto 'Poweeershell.exe' en lugar de usar 'Powershell.exe'. En otras muestras, los expertos detectaron que la ruta PDB estaba dentro del binario de la amenaza. Para confundir a los investigadores de malware, los autores de la puerta trasera de Poison Frog han modificado la fecha de compilación de la amenaza a una que se establece en el futuro.
A pesar de algunos errores cometidos por OilRig APT, este grupo de piratería no debe subestimarse. El grupo de pirateo de OilRig puede actualizar la puerta trasera de Poison Frog en algún momento en el futuro y eliminar los errores, por lo que la amenaza es mucho más potente.
