Palo Alto Networks透露，定向攻击可利用先前与俄罗斯有联系的Turla黑客组织有关的漏洞，提供一种新的恶意软件。

被认为是代表俄罗斯联邦安全局（FSB），也被称为Waterbug，毒蛇熊和氪操作，Turla是已知有滥用第三方设备驱动程序禁用驱动程序签名执法局（DSE）的第一威胁演员，是Windows Vista中引入的一项安全功能，用于防止加载未签名的驱动程序。

Turla的漏洞通常被称为CVE-2008-3431，它利用签名的VirtualBox驱动程序（VBoxDrv.sys v1.6.2）停用DSE并加载未签名的有效负载驱动程序，实际上利用了两个漏洞，但只解决了一个漏洞。漏洞利用的第二个版本仅针对未知漏洞。

现在，Palo Alto Networks揭示了与Turla无关的未知威胁参与者正在利用同一未打补丁的安全漏洞，以利用VirtualBox VBoxDrv.sys驱动程序的较新版本。

攻击者在2017年通过利用驱动程序2.2.0版本针对至少两个不同的俄罗斯组织，可能是因为该迭代不容易受到攻击。攻击者部署了一个以前未知的恶意软件家族，研究人员将其命名为AcidBox。

Palo Alto Networks说：“由于没有发现其他受害者，因此我们认为这只是用于针对性攻击的一种非常罕见的恶意软件。”

AcidBox是更大工具集中复杂的恶意软件部分，它可能与高级威胁参与者相关联，并且如果攻击者仍处于活动状态，则可能仍在使用。

“但是，我们预计它会在一定程度上被重写。根据我们掌握的信息，我们认为除了使用过的利用之外，这个未知的威胁因素与Turla无关。”提供了对该恶意软件详细分析的Palo Alto Networks说。

研究人员与其他安全公司合作，确定了该恶意软件的三个用户模式样本（从Windows注册表加载主工作者的64位DLL）和一个内核模式有效载荷驱动程序（嵌入在主工作者样本中）。

所有示例均具有2017年5月9日的编译时间戳记，并且很可能在同一年的广告系列中使用。没有发现新的样本，也不清楚威胁因素是否仍然活跃。

AcidBox将敏感数据作为图标资源的覆盖物进行附加，滥用SSP界面进行持久性和注入，将其有效负载存储在Windows注册表中，并且与已知的恶意软件没有明显的重叠，尽管它与Remsec。

帕洛阿尔托网络公司（Palo Alto Networks）无法识别AcidBox所属的工具包，但该公司共享了两个YARA规则以进行检测和威胁搜寻，以及一个Python脚本，可以帮助受害者提取附加在图标资源上的敏感数据。