毒蛙

中东最臭名昭著的黑客组织之一起源于伊朗，并以OilRig命名。它们也以别名HelixKitten IRN2和APT34（高级持久威胁）而闻名。 OilRig黑客组织早在2014年就开始运作，自那时以来，据称他们已造成无数受害者。通常，OilRig集团追求的目标是化学，能源和电信行业。他们也倾向于针对金融机构以及政府机构。一些专家认为，OilRig黑客组织是由伊朗政府赞助的，用于进行攻击，以促进伊朗国家的利益。

毒蛙后门是用C＃编写的

最近，APT34以一种名为Poison Frog的新威胁引起了网络安全研究人员的注意。 Poison Frog威胁是使用C＃编程语言编写的特洛伊木马后门。用C＃编写的威胁不会随其功能而发光。通常，唯一的作用是注入PowerShell脚本，然后在攻击发生后执行该脚本并迅速将其清除。与在Dropper PowerShell脚本中找到的逻辑相似，嵌入式PowerShell脚本以相同的方式起作用。 DNS和HTTP后门位于两个长字符串dns_ag和http_ag下，这两个字符串是base64编码的。任务计划服务可帮助Poison Frog后门获得对受感染主机的持久性。

毒蛙威胁被掩盖为合法工具

感染目标系统后，Poison Frog威胁会将其自身屏蔽为称为Cisco AnyConnect的合法应用程序。不用说，Poison Frog后门与正版Cisco AnyConnect实用工具完全无关。毒蛙威胁显示伪造的布局和一个显示“连接”的按钮。但是，如果用户单击“连接”按钮，将为他们提供一个弹出窗口，显示错误消息。这是一个技巧，旨在使用户误以为他们的Internet连接存在问题。

OilRig小组在开发毒蛙威胁时犯了几个错误

当网络安全专家研究Poison Frog后门程序时，他们发现了OilRig黑客组织犯下的许多错误。发现的示例之一无法执行，因为威胁的创建者使用了错误的命令“ Poweeershell.exe”而不是“ Powershell.exe”。在其他示例中，专家发现PDB路径位于威胁的二进制文件内。为了混淆恶意软件研究人员，Poison Frog后门程序的作者已将威胁的编译日期更改为将来设置的威胁。

尽管OilRig APT犯了一些错误，但这个黑客组织也不容小under。 OilRig黑客组织可能会在将来某个时候更新Poison Frog后门并清除错误，从而使威胁更加强大。