Китайская хакерская группа APT17 использовала страницы профилей и форумы на портале Microsoft TechNet для публикации IP-адресов своих командных серверов. Деятельность злоумышленников раскрыли специалисты FireEye и Microsoft Threat Intelligence Center, которые опубликовали специальный отчёт на эту тему.
Хакеры с особым цинизмом прятали IP-адреса в виде закодированных строк, которые публиковались с тегами “@MICROSOFT” и “CORPORATION”.
По информации специалистов, группа APT17 специализируется на шпионаже против американских государственных и общественных организаций, оборонных подрядчиков, юридических фирм и др. Один из используемых ими инструментов — многофункциональный бэкдор BLACKCOFFEE. Публикуемые IP-адреса были вспомогательным средством для этого бэкдора. Анализ этого зловреда помог определить, что злоумышленники используют Microsoft TechNet для передачи информации.
Получив с TechNet адрес действующего C&C-сервера, бэкдор устанавливал с ним канал связи и передавал туда файлы, собранные на компьютере жертвы.
Индикаторы заражения BLACKCOFFEE опубликованы на Github.
