新闻快讯
< >

火眼称中国黑客组织APT17在微软TechNet网站中隐藏恶意软件

火眼声称,微软已经采取措施屏蔽了来自于中国的黑客组织使用TechNet网站作为它的攻击基础设施。该黑客组织被火眼称为APT17,攻击过美国国防承包商、法律事务所、政府机构,以及科技公司和矿产企业。

TechNet是微软产品的技术文档网站,包括一个用户进行提问和评论的大型论坛,有着很高的网站流量。

APT17又被称为代理狗(DeputyDog),在TechNet上建立账号并在特定页面留下评论。这些评论包含一个经过编码的域名,被APT17的恶意软件感染的计算机会被导向至此域名。然后这个域名主机再将受害者的计算机联系至命令控制服务器(C2)。

通常在恶意软件中会嵌入C2的域名,但这极容易被安全研究人员发现。因此,为了避免怀疑,高级一点的做法就是使用中间域名作为过渡。

之前安全人员已经发现过一些攻击者使用合法域名来掩盖其真实的行为,Google Docs和推特都曾被利用来完成与APT17类似的目标。对于开放平台来说,这的确是一个挑战。

火眼与微软用可控的域名替代了这些被编码的域名,火眼亚太区CTO布莱斯·博兰德表示,APT17已经活动了许多年,主要通过鱼叉式钓鱼的手段实施初始攻击。其使用一种名为“黑咖啡”的恶意软件感染计算机,该软件可上传、删除文件,并在受害者计算机上建立反向shell。