Новая вредоносная программа Acronym, предположительно, связана с Potao

Олег Иванов 16 Марта 2017 - 10:06

Домашние пользователи

Windows

Eset

Программы-вымогатели

Программы-шифровальщики

...

Новая вредоносная программа Acronym, предположительно, связана с Potao

Исследователи Arbor Networks столкнулись с новой версией вредоносной программы, которая может быть связана с трояном, используемым в кампании Operation Potao Express.

Вредонос привлек внимание экспертов Arbor Networks после того, как экспертом из Италии, известным под именем Antelox, в Twitter была размещена ссылка на его анализ VirusTotal. Анализ трояна и его дроппера показал, что он может быть связан с семейством вредоносных программ Potao.

Potao описывали как «универсальный модульный инструментарий для кибершпионажа», он появился приблизительно в 2011 году, однако впервые детально был проанализирован ESET в 2015 году.

В своем отчете компания ESET заявила о том, что зловред, скорее всего, родом из России, а использовался он в атаках, направленных против организаций в Украине, России, Грузии и Беларуси.

Как полагает Arbor Networks, новая вредоносная программа, получившая название «Acronym», может быть связана с Potao. Acronym и его дроппер, предположительно, были созданы в середине февраля.

Дроппер предназначен для завершения системного процесса Windows wmpnetwk.exe и замены легитимного файла wmpnetwk.exe на вредоносный. После запуска Acronym использует реестр или планировщик заданий, чтобы закрепиться в системе. Затем он связывается с командным центром и отправляет ему информацию о зараженной машине.

Как и Potao, Acronym является модульной вредоносной программой. Его встроенные команды позволяют злорумышленнику делать скриншоты, загружать и выполнять файлы, запускать плагины.

На этом сходства этих двух вредоносов не заканчиваются – оба пытаются связаться с командным центром через одни и те же порты и используют имена временных файлов, начинающиеся на «HH».

С другой стороны, есть несколько отличий в работе Potao и Acronym – дроппер Acronym, например, не использует документы для распространения, DLL-файлы и внедрения в процессы тоже не были замечены в работе этого зловреда. Более того, некоторые куски кода Acronym, в том числе отвечающие за связь по протоколу HTTP, шифрование и скриншоты, похоже, были скопированы из общедоступных примеров.

«На данный момент довольно трудно оценить, насколько активно и широко распространено это новое семейство, но у него определенно есть потенциал» - утверждает эксперт Arbor Networks, Деннис Шварц (Dennis Schwarz).

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 09:22

Avanpost SSO Малый и средний бизнес Корпорации Системы аутентификации Токены и устройства аутентификации Средства генерации одноразовых паролей (OTP)Системы управления аутентификацией Аванпост

Avanpost представила E-Passport — цифровой паспорт для бесшовного SSO

Компания Avanpost представила новую технологию E-Passport, которая стала частью продукта Avanpost Unified SSO. По сути, речь идёт о цифровом «паспорте» сотрудника, который привязывается не к паролю, а к устройству и защищённой сессии. E-Passport работает как цифровой идентификатор пользователя на личном (BYOD) или корпоративном устройстве и реализован в виде криптографической пары ключей.

Эта связка превращает рабочее место и мобильное устройство сотрудника в защищённое хранилище сессии через Avanpost Authenticator и позволяет безопасно передавать её между устройствами без риска перехвата.

Технология лежит в основе бесшовной аутентификации во всех корпоративных системах — от веб-сервисов до классических десктопных приложений. Сотруднику достаточно один раз пройти аутентификацию, после чего он автоматически получает доступ ко всем нужным внутренним ресурсам без постоянного ввода паролей. При этом единая сессия остаётся защищённой и соответствует принципам Zero Trust.

В Avanpost подчёркивают, что Unified SSO с E-Passport решает сразу несколько задач. Во-первых, обеспечивает криптографически стойкую защиту от перехвата и клонирования сессий — даже если пароль скомпрометирован. Во-вторых, объединяет веб- и десктоп-приложения в одну сессию с поддержкой централизованного завершения работы (Single Logout).

В-третьих, позволяет непрерывно контролировать защищённость сессии и при необходимости принудительно завершать её как в приложениях, так и на рабочих станциях под управлением Windows и Linux.

Один из типовых сценариев использования E-Passport — когда сотрудник проходит аутентификацию один раз при входе в систему и дальше работает со всеми корпоративными сервисами без дополнительных запросов логина и пароля. Такой подход снижает нагрузку на ИТ-поддержку, ускоряет рабочие процессы и одновременно повышает уровень безопасности.

«E-Passport позволяет компании перейти к архитектуре Zero Trust, в которой каждый запрос, устройство и пользователь постоянно проверяются, а привязка цифровой идентичности к устройству становится новым стандартом защищённого доступа», — отметил Дмитрий Грудинин, владелец линейки продуктов Avanpost Access.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »