Китайская хакерская группа APT17 использовала страницы профилей и форумы на портале Microsoft TechNet для публикации IP-адресов своих командных серверов. Деятельность злоумышленников раскрыли специалисты FireEye и Microsoft Threat Intelligence Center, которые опубликовали специальный отчёт на эту тему.

Хакеры с особым цинизмом прятали IP-адреса в виде закодированных строк, которые публиковались с тегами “@MICROSOFT” и “CORPORATION”.

По информации специалистов, группа APT17 специализируется на шпионаже против американских государственных и общественных организаций, оборонных подрядчиков, юридических фирм и др. Один из используемых ими инструментов — многофункциональный бэкдор BLACKCOFFEE. Публикуемые IP-адреса были вспомогательным средством для этого бэкдора. Анализ этого зловреда помог определить, что злоумышленники используют Microsoft TechNet для передачи информации.

Получив с TechNet адрес действующего C&C-сервера, бэкдор устанавливал с ним канал связи и передавал туда файлы, собранные на компьютере жертвы.

Индикаторы заражения BLACKCOFFEE опубликованы на Github.



6 комментариев

  1. http://121.0.0.1

    21.05.2015 at 06:36

    Молодцы узкоглазые лучше чем русские и американские …

  2. http://121.0.0.1

    21.05.2015 at 06:37

    Использовали сервера компании Майкрасофт как шлюху для передачи дозы..ХЭХ ЛОЛ

  3. 27.05.2015 at 23:38

Оставить мнение