Сайт Microsoft хакеры использовали для управления трояном
Китайские хакеры использовали популярный ресурс Microsoft TechNet для управления своими командными серверами. Эксперты признали, что этот метод позволил инфраструктуре хакеров просуществовать длительное время.
Microsoft Threat Intelligence Center совместно с компанией FireEye, специализирующейся на защите данных, пресек деятельность хакерской группировки APT17, предположительно, спонсируемой китайским правительством.
Известная атаками на предприятия оборонной промышленности, юридические организации, правительственные структуры, технологические компании и компании по добыче полезных ископаемых, APT17 использовала сайт TechNet для управления своим командно-контрольным сервером (C&C), пишет PC World.
TechNet — интернет-ресурс Microsoft с высоким трафиком. Он содержит техническую документацию для продуктов корпорации и крупный форум, на котором пользователи могут задавать технические вопросы и получать ответы от специалистов.
Участники группировки APT17 — известной также как DeputyDog — создали несколько аккаунтов и оставляли в обсуждениях комментарии c закодированными IP-адресами.
ПК, зараженные трояном Blackcoffee использовали кодированные записи на сайте Microsoft TechNet, чтобы узнать свежие IP-адреса командных серверов и наладить с ними контакт для получения команд или передачи похищенной из зараженной системы информации.
По словам специалистов FireEye, использование стороннего сайта как канала связи с компандным сервером затруднило поиск истинного расположения командно-контрольных серверов и позволило инфраструктуре таких серверов оставаться работоспособной длительное время.
Добавим, что это не первая атака предположительно китайских хакеров, с которой Microsoft столкнулась за последнее время. В январе 2015 г. злоумышленники взломали почтовый сервис Microsoft Outlook. Атака длилась около суток и носила характер «человек посередине» (man in the middle) — когда хакер незаметно вклинивается в линию связи между исходным и конечным пунктом и получает возможность перехватывать данные. Согласно предположению специалистов GreatFire, атака была проведена Китайской администрацией интернет-пространства (Cyberspace Administration of China), отвечающей за интернет-цензуру в государстве.
Microsoft Threat Intelligence Center совместно с компанией FireEye, специализирующейся на защите данных, пресек деятельность хакерской группировки APT17, предположительно, спонсируемой китайским правительством.
Известная атаками на предприятия оборонной промышленности, юридические организации, правительственные структуры, технологические компании и компании по добыче полезных ископаемых, APT17 использовала сайт TechNet для управления своим командно-контрольным сервером (C&C), пишет PC World.
TechNet — интернет-ресурс Microsoft с высоким трафиком. Он содержит техническую документацию для продуктов корпорации и крупный форум, на котором пользователи могут задавать технические вопросы и получать ответы от специалистов.
Участники группировки APT17 — известной также как DeputyDog — создали несколько аккаунтов и оставляли в обсуждениях комментарии c закодированными IP-адресами.
ПК, зараженные трояном Blackcoffee использовали кодированные записи на сайте Microsoft TechNet, чтобы узнать свежие IP-адреса командных серверов и наладить с ними контакт для получения команд или передачи похищенной из зараженной системы информации.
По словам специалистов FireEye, использование стороннего сайта как канала связи с компандным сервером затруднило поиск истинного расположения командно-контрольных серверов и позволило инфраструктуре таких серверов оставаться работоспособной длительное время.
Добавим, что это не первая атака предположительно китайских хакеров, с которой Microsoft столкнулась за последнее время. В январе 2015 г. злоумышленники взломали почтовый сервис Microsoft Outlook. Атака длилась около суток и носила характер «человек посередине» (man in the middle) — когда хакер незаметно вклинивается в линию связи между исходным и конечным пунктом и получает возможность перехватывать данные. Согласно предположению специалистов GreatFire, атака была проведена Китайской администрацией интернет-пространства (Cyberspace Administration of China), отвечающей за интернет-цензуру в государстве.
Ещё новости по теме:
18:20