Arbor Networks安全专家：新恶意软件 Acronym 与 “Potao” 网络间谍行动有潜在联系

Arbor Networks安全专家：新恶意软件 Acronym 与 “Potao” 网络间谍行动有潜在联系。近期，Arbor Networks 的安全专家发现了一个新恶意软件 Acronym。此恶意软件用于调试 C&C 服务器的 URL 恶意代码，与 “Potao” 网络间谍行动有潜在联系。意大利研究人员 Antelox 在 Twitter 上分享了一个 VirusTotal 链接，引起了安全专家的关注并展开了调查。

自 2011 年以来恶意软件 Potao 就已经存在，被称为“ 通用模块化的网络间谍工具包 ”，允许黑客利用恶意代码进行操作 。2015 年，世界知名安全公司 ESET 首次对其进行详细分析，根据 ESET 发布的一份名为 “Potao 行动” 的网络间谍活动报告显示，该攻击依赖于俄语版带有后门的 TrueCrypt 进行扩散，攻击目标主要瞄准乌克兰、俄罗斯、格鲁吉亚和白俄罗斯等国家。

据调查表明，恶意软件 Acronym 和 Dropper 组件于 2017 年 2 月就已被编译，并与 Potao 行动相互关联。

根据 Dropper 组件的分析显示，它将杀死任何名为“ wmpnetwk.exe ”的 Windows 进程，并将其替换为恶意代码。随后，该恶意软件联系 C&C 服务器，向其发送受感染计算机的信息。一旦初始阶段完成，它将指挥控制其服务器，并通过六个 IP 端口对其重复发送反馈信息。

恶意软件 Acronym 不仅可以使用注册表或任务计划程序获得持久性功能，还能通过捕获屏幕截图、下载和执行其他有效内容运行系统插件。遗憾的是，由于 C&C 服务器在 Arbor Networks 进行分析时处于离线状态，研究人员没能获取可用插件信息。

据研究人员称，Potao 木马和 Acronym 恶意软件不仅使用相同的 C&C 基础设施，而且在同一端口上联系 C&C 域，并以“ HH ”开头的临时文件命名。虽然这两种恶意软件具有相同模块化结构，但它们之间还是存在着加密和传递机制的差异。

据专家称，现在评估 Acronym 在 Potao 行动里的发展状况还为时过早，但它确实与其存在着潜在联系。