Chinesische Malware kommuniziert über TechNet-Forum

Posted on Posted in Hacker News

Die Backdoor “Blackcoffee” der APT17 getauften Angreifer liest verschlüsselte IP-Adressen für Command-and-Control-Server aus vermeintlich harmlosen Beiträgen im TechNet-Forum von Microsoft.

Die angeblich aus China stammenden Malware-Programmierer der Backdoor namens Blackcoffee legen im TechNet-Forum von Microsoft Beiträge an, um den infizierten Rechnern die IP-Adressen der Command-and-Control-Server mitzuteilen. Das meldet die IT-Sicherheitsfirma FireEye.

In einem Report erklärt FireEye das Vorgehen der Gruppe APT17, die auch unter dem Namen DeputyDog bekannt ist. Demnach legen die Angreifer reguläre Forumsbeiträge an, die zwischen den Wörtern “@MICR0S0FT” und “C0RP0RATI0N” verschlüsselte IP-Adressen enthalten. Die Malware der infizierten Rechner greift also auf eine anscheinend harmlose Webseite eines renommierten Unternehmens zu, was die Enttarnung des Schädlings erschwert.

Die Idee ist allerdings nicht neu: Schon 2009 wurde entdeckt, dass ein Botnetz über Twitter kommuniziert, 2007 war MySpace verwendet worden.

Quelle: heise.de

FireEye

FireEye Dokument:

Facebooktwittergoogle_plus