ccleaner恶意软件的目标是谷歌、微软和三星的内部网络

对Windows实用工具CCleaner的恶意软件攻击可能比看上去更具针对性和复杂性。在这起袭击事件宣布后的几天里，研究人员一直在仔细研究一个被查获的指挥控制中心的数据，发现有证据表明攻击者利用这一妥协方案瞄准了一些世界上最强大的科技公司。...

对Windows实用工具CCleaner的恶意软件攻击可能比看上去更具针对性和复杂性。在这起袭击事件宣布后的几天里，研究人员一直在仔细研究一个被查获的指挥控制中心的数据，发现有证据表明攻击者利用这一妥协方案瞄准了一些世界上最强大的科技公司。

来自Avast和Cisco的Talos研究小组的新帖子详细介绍了Wired首次报道的研究结果。在服务器被截获时，攻击者的目标是一系列具有第二阶段有效负载的内部域，这些域旨在收集数据并提供对任何受感染设备的持久访问。

Talos公布的域名列表显示了一些主要的科技公司。”Ntdev.corp.microsoft.com“是Windows开发者的内部域名，而hq.gmail.com似乎是谷歌员工的内部gmail实例。其他目标包括索尼、三星、英特尔和Akamai。这些域名还包括一家德国老虎机公司以及新加坡和英国的主要电信公司。

该列表只包括在服务器被查封前4天内被锁定的域，因此完全有可能在活动早期就有其他公司被锁定。不过，两级有效载荷的性质表明，这次攻击是有针对性的，目的是打入特定公司，而不是一下子危害数百万台电脑。”这是一个典型的水坑攻击，绝大多数用户对攻击者不感兴趣，但有选择的用户是，”Avast研究人员写道。研究人员现在估计只有70万台电脑受到攻击，低于先前估计的220万台。

目前还不清楚哪些公司成功地被攻陷。Talos登记了至少20台被有效载荷锁定的计算机，但研究人员没有透露涉及哪些公司。目前还不清楚攻击者在寻找什么，尽管塔洛斯指出，目标域名“将表明一个非常专注的演员后，宝贵的知识产权。”

这两个组织都没有做出官方的归因，但是卡巴斯基的研究人员已经注意到，CCleaner攻击和Axiom威胁组织之前的攻击之间存在明显的代码重叠，塔洛斯证实了这一发现。此前的研究将Axiom集团与中国情报部门联系在一起，并具有中等至高度的信心。

不过，研究人员可能会在未来几周对这项运动有更多了解。来自初始命令服务器的数据显示，攻击中还使用了其他几台服务器，目前执法部门正在努力定位和扣押这些服务器。