Die chinesische Hackergruppe APT17 hat eine neue Methode entwickelt um ihre Malware zu verbreiten und zu steuern. Die Gruppe verwendet das TechNet-Forum von Microsoft als Kommunikationskanal. Dabei wird die Backdoor "Blackcoffee" eingesetzt um verschlüsselte IP-Adressen für Command-and-Control-Server aus scheinbar unschuldigen Beiträgen im Forum auszulesen.
Die APT17 ist für ihre hochentwickelten Angriffe auf staatliche Organisationen & Unternehmen weltweit bekannt. Sie operiert im Auftrag der chinesischen Regierung und zielt vor allem auf Informationen aus den Bereichen Verteidigung, Energie und Telekommunikation ab.
Die Verwendung des TechNet-Forums als Kommunikationskanal ermöglicht es den Angreifern, ihre Aktivitäten zu verschleiern und die Malware vor Entdeckung zu schützen. Indem sie ihre verschlüsselten IP-Adressen in harmlos wirkenden Forum-Beiträgen verstecken, können sie die Aufmerksamkeit der Sicherheitsmaßnahmen umgehen.
Die Backdoor "Blackcoffee" ist eine der Hauptwaffen der APT17. Sie ermöglicht den Angreifern den Fernzugriff auf infizierte Systeme und dient als Türöffner für weitere Angriffe. Durch das Auslesen der verschlüsselten IP-Adressen aus den Forumbeiträgen können die Angreifer ihre Command-and-Control-Server identifizieren und ihre Malware steuern.
Die Verwendung des TechNet-Forums ist eine raffinierte Taktik der APT17 die es ihnen ermöglicht, ihre Spuren zu verwischen und ihre Aktivitäten geheim zu halten. Da das Forum von Microsoft betrieben wird, wird es von vielen Nutzern als vertrauenswürdige Quelle angesehen was die Wahrscheinlichkeit erhöht, dass die manipulierten Beiträge unbemerkt bleiben.
Essenziell bleibt dass Unternehmen & Organisationen sich der Gefahr bewusst sind die von solchen Angriffen ausgeht. Durch regelmäßige Sicherheitsüberprüfungen und Schulungen können potenzielle Schwachstellen erkannt und Maßnahmen ergriffen werden um sich vor Angriffen wie denen der APT17 zu schützen.
Das meldet die IT-Sicherheitsfirma FireEye.
In einem Report erklärt FireEye das Vorgehen der Gruppe APT17 die ebenfalls unter dem Namen DeputyDog bekannt ist. Demnach legen die Angreifer reguläre Forumsbeiträge an die zwischen den Wörtern "@MICR0S0FT" und "C0RP0RATI0N" verschlüsselte IP-Adressen enthalten. Die Malware der infizierten Rechner greift also auf eine anscheinend harmlose Webseite eines renommierten Unternehmens zu was die Enttarnung des Schädlings erschwert.
Die Idee ist allerdings nicht neu: Schon 2009 wurde entdeckt. Dass Botnetz über Twitter kommuniziert – 2007 war MySpace verwendet worden.
Kommentare