Сайт Microsoft TechNet используется хакерами для осуществления атак


HacksКитайская хакерская группировка APT 17 использовала блог Microsoft TechNet для маскировки своих противозаконных действий. Напомним, что данная группировка является организатором атак на:

  • госорганизации США;
  • предприятия оборонной промышленности;
  • юридические и информационно-технологические компании.

Microsoft TechNet – интернет-ресурс с высоким трафиком, который содержит техническую информацию о продукции Microsoft, новости и предстоящие события для профессионалов в сфере информационных технологий. Кроме того, на ресурсе есть форум, где все желающие могут оставлять комментарии и задавать вопросы.

Такой возможностью воспользовались и участники APT 17. Они размещали комментарии на TechNet, а также создавали профильные страницы, содержащие закодированные IP-адреса C&C-сервера, которые направляли вариант бэкдора BLACKCOFFEE на C&C-сервер злоумышленников. В результате деятельности киберпреступников система безопасности TechNet скомпрометирована не была. Однако, как отметили специалисты, такая тактика может успешно работать и на других интернет-площадках и форумах.

Стоит отметить тот факт, что большинство хакерских группировок предпочитают компрометировать без труда манипулируемые сайты, что ведет к довольно быстрому обнаружению их деятельности и местоположения. Тактика, которую применили хакеры APT 17, более искусна, но далеко не нова. Так, например, известны случаи, когда несколько зомби-сетей использовали профили в Twitter в качестве канала связи. Также стоит напомнить, что APT 17 ранее уже эксплуатировали популярные поисковые системы, в том числе Google и Bing, для маскировки своей активности и расположения серверов.

Специалисты по безопасности считают, что в недалеком будущем подобное кодирование и обфускация станут довольно популярной тактикой среди хакерских группировок по всему миру.


Обновлено (19.05.2015 08:54)