OilRig伊朗威胁组织伪装合法的思科工具 安装Poison Frog后门

臭名昭著的OilRig伊朗威胁组织通过使用各种PowerShell脚本将恶意软件伪装成合法的Cisco AnyConnect应用程序，以安装Poison Frog后门程序。 Poison Frog是OilRig集团武器库中最强大的后门之一，它包含一个面板，面板上有服务器端部件和PowerShell中曾用于各种备受关注网络攻击的Payload。 卡巴斯基研究人员还发现了一个新样本，它是一个用C语言编写的PE可执行文件，只有删除包含后门Powershell脚本的功能。在同样的逻辑下，还发现了另一个PowerShell脚本，它有两个不同的长字符串，包含DNS和HTTP后门也就是Poison Frog后门。 为了安装恶意软件，OilRig威胁组织成员还巧妙使用了计俩，将恶意软件伪装成合法的Cisco AnyConnect应用程序。 卡巴斯基研究人员发表报告称“信息弹出窗口会在每次点击时出现，起到欺瞒用户的作用，使用户误认为是应用程序或互联网的接入有问题，而实际上却是在悄悄的将后门安装在系统上。” 消息来源：gbhackers， 译者：dengdeng，校审：吴烦恼

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/