毒蛙

中東最臭名昭著的黑客組織之一起源於伊朗，並以OilRig命名。它們也以別名HelixKitten IRN2和APT34（高級持久威脅）而聞名。 OilRig黑客組織早在2014年就開始運作，自那時以來，據稱他們已造成無數受害者。通常，OilRig集團追求的目標是化學，能源和電信行業。他們也傾向於針對金融機構以及政府機構。一些專家認為，OilRig黑客組織是由伊朗政府贊助的，用於進行攻擊，以促進伊朗國家的利益。

毒蛙後門是用C＃編寫的

最近，APT34以一種名為Poison Frog的新威脅引起了網絡安全研究人員的注意。 Poison Frog威脅是使用C＃編程語言編寫的特洛伊木馬後門。用C＃編寫的威脅不會隨其功能而發光。通常，唯一的作用是注入PowerShell腳本，然後在攻擊發生後執行該腳本並迅速將其清除。與在Dropper PowerShell腳本中找到的邏輯相似，嵌入式PowerShell腳本以相同的方式起作用。 DNS和HTTP後門位於兩個長字符串dns_ag和http_ag下，這兩個字符串是base64編碼的。任務計劃服務可幫助Poison Frog後門獲得對受感染主機的持久性。

毒蛙威脅被掩蓋為合法工具

感染目標系統後，Poison Frog威脅會將其自身屏蔽為稱為Cisco AnyConnect的合法應用程序。不用說，Poison Frog後門與正版Cisco AnyConnect實用工具完全無關。毒蛙威脅顯示偽造的佈局和一個顯示“連接”的按鈕。但是，如果用戶單擊“連接”按鈕，將為他們提供一個彈出窗口，顯示錯誤消息。這是一個技巧，旨在使用戶誤以為他們的Internet連接存在問題。

OilRig小組在開發毒蛙威脅時犯了幾個錯誤

當網絡安全專家研究Poison Frog後門程序時，他們發現了OilRig黑客組織犯下的許多錯誤。發現的示例之一無法執行，因為威脅的創建者使用了錯誤的命令“ Poweeershell.exe”而不是“ Powershell.exe”。在其他示例中，專家發現PDB路徑位於威脅的二進製文件內。為了混淆惡意軟件研究人員，Poison Frog後門程序的作者已將威脅的編譯日期更改為將來設置的威脅。

儘管OilRig APT犯了一些錯誤，但這個黑客組織也不容小under。 OilRig黑客組織可能會在將來某個時候更新Poison Frog後門並清除錯誤，因此使威脅更加強大。