want to advertise here $100 / views

May 15, 2015

Hacker Cina menggunakan malware di website TechNet untuk menargetkan situs-situs lain

malware

Kelompok hacker Cina APT17 dan DeputyDog telah menggunakan website Microsoft TechNet untuk serangan mounting pada target lainnya

Peneliti telah menemukan FireEye operasi hacking yang besar Cina menggunakan situs TechNet Microsoft ini. Hacker Cina yaitu APT17 dan DeputyDog menyembunyikan malware ke dalam situs TechNet untuk menjadi tuan rumah perintah dan mengontrol ahli server.The menemukan menarik teknik kebingungan C & C diadopsi oleh pelaku ancaman.

Hacker menggunakan portal web TechNet untuk menjadi tuan rumah alamat IP untuk komando dan kontrol (C & C) server. Alamat IP untuk C & C server yang dikodekan oleh penyerang, string disandikan ditemukan dalam profil dan posting terbatas dengan "MICROSOFT" dan "Corporation" tag.

Microsoft, setelah menerima informasi dari FireEye tentang ancaman APT telah terpasang keamanan mengeksploitasi.

Kelompok, yang FireEye telah dijuluki APT17 terkenal untuk serangan terhadap kontraktor pertahanan, firma hukum, badan pemerintah AS dan teknologi dan pertambangan website perusahaan.

Microsoft TechNet host dokumentasi teknis dari produk Microsoft dan merupakan situs yang sangat populer dengan forum besar untuk pertanyaan dan jawaban mengenai proyek Microsoft.

Para hacker, menciptakan berbagai account pada TechNet dan kemudian meninggalkan komentar pada halaman tertentu. Komentar-komentar ini mengandung nama dari perintah dikodekan dan domain kontrol, yang komputer yang terinfeksi oleh malware APT17 itu diperintahkan untuk menghubungi dan mendapatkan petunjuk. Teknik kebingungan kebingungan dilaksanakan oleh penyerang memungkinkan mereka untuk menunda deteksi kegiatan berbahaya dan penemuan alamat IP C & C server.

Para peneliti FireEye menemukan bahwa hacker telah menggunakan malware yang disebut BLACKCOFFEE. Blackcoffee memungkinkan penangan untuk melakukan beberapa operasi pada mesin korban seperti upload / download file, membuat reverse shell, memanipulasi file, dan membunuh proses.

Kadang-kadang, domain perintah-dan-kontrol yang tertanam di Blackcoffee malware itu sendiri sehingga memudahkan malware untuk menghubungkan dengan server C & C.

FireEye telah menerbitkan Indikator kompromi  pada Github.

Artikel Terkait

0komentar:

Post a Comment