“在从C2服务器分析发送码，马上有什么突出的是组织，包括思科，该名单是专门通过有针对性的交付第二阶段装载机。根据对追踪数据库的回顾，该数据库仅在9月份覆盖了四天，我们可以确认至少有20台受害机器是专门的辅助有效载荷。以下是攻击者试图定位的域名列表。“阅读了思科Talos发布的分析。

黑客所针对的域名列表很长，包括：

• 谷歌
• 微软
• 思科
• 英特尔
• 三星
• 索尼
• HTC
• Linksys的
• 的D-Link
• Akamai的
• VMware的

对C＆C服务器的分析显示，近70万台机器受到CCleaner污染版本的感染，至少有20台机器感染了第二阶段的有效载荷。感染次级恶意软件的机器是根据其域名，IP地址和主机名进行定位的，这种情况表明攻击者最有可能正在进行工业间谍活动。

“C2 MySQL数据库中有两个表：一个描述了所有向服务器报告的机器，另一个描述了所有接收到第二阶段下载的机器，这两个机器都有9月12日至9月16日的条目。在这段时间内，超过70万台机器报告给C2服务器，超过20台机器已经收到了第二阶段的有效载荷。重要的是要了解，目标列表可以在服务器活动期间被更改，并针对不同的组织进行更改。“Talos继续说道。

“在妥协过程中，恶意软件会定期联系C2服务器并传送有关感染系统的侦察信息。此信息包括IP地址，在线时间，主机名，域名，流程列表等。攻击者很可能会使用这些信息来确定在运动的最后阶段应该使用哪些机器。“

谁是罪魁祸首？

Talos专家指出，C＆C服务器上的一个配置文件是针对中国的时区设定的，这表明中国的攻击者可能会在CCleaner攻击中落后。

据卡巴斯基的研究人员介绍，CCleaner事件中使用的恶意代码与APT17集团（又名  Axiom，72集团，Doddog，Tailgater团队，Hidden Lynx或AuroraPanda）使用的黑客工具相似。