研究显示:新恶意软件 Acronym 与 “Potao” 网络间谍行动有潜在联系

作者:hack-cn.com 2017-03-21

近期,Arbor Networks 的安全专家发现了一个新恶意软件 Acronym。此恶意软件用于调试 C&C 服务器的 URL 恶意代码,与 “Potao” 网络间谍行动有潜在联系。意大利研究人员 Antelox 在 Twitter 上分享了一个 VirusTotal 链接,引起了安全专家的关注并展开了调查。

自 2011 年以来恶意软件 Potao 就已经存在,被称为“ 通用模块化的网络间谍工具包 ”,允许黑客利用恶意代码进行操作 。2015 年,世界知名安全公司 ESET 首次对其进行详细分析,根据 ESET 发布的一份名为 “Potao 行动” 的网络间谍活动报告显示,该攻击依赖于俄语版带有后门的 TrueCrypt 进行扩散,攻击目标主要瞄准乌克兰、俄罗斯、格鲁吉亚和白俄罗斯等国家。

据调查表明,恶意软件 Acronym 和 Dropper 组件于 2017 年 2 月就已被编译,并与 Potao 行动相互关联。

QQ截图20170321095217.png

根据 Dropper 组件的分析显示,它将杀死任何名为“ wmpnetwk.exe ”的 Windows 进程,并将其替换为恶意代码。随后,该恶意软件联系 C&C 服务器,向其发送受感染计算机的信息。一旦初始阶段完成,它将指挥控制其服务器,并通过六个 IP 端口对其重复发送反馈信息。

恶意软件 Acronym 不仅可以使用注册表或任务计划程序获得持久性功能,还能通过捕获屏幕截图、下载和执行其他有效内容运行系统插件。遗憾的是,由于 C&C 服务器在 Arbor Networks 进行分析时处于离线状态,研究人员没能获取可用插件信息。

据研究人员称,Potao 木马和 Acronym 恶意软件不仅使用相同的 C&C 基础设施,而且在同一端口上联系 C&C 域,并以“ HH ”开头的临时文件命名。虽然这两种恶意软件具有相同模块化结构,但它们之间还是存在着加密和传递机制的差异。

据专家称,现在评估 Acronym 在 Potao 行动里的发展状况还为时过早,但它确实与其存在着潜在联系。

作者:hack-cn.com
上一篇         下一篇
分享
本站推荐