Die chinesische Hackergruppe APT verschleiert mit Microsoft Technet ihre CnC-Server

  • 19. Mai 2015
  • 1 min Lesezeit

Mit der chinesischen Hackergruppe namens APT17 hat Hacking eine neue Ebene erreicht, denn die Services des Microsoft Technet-Portals werden verwendet, um ihre CnC-Server zu verbergen. Laut FireEye setzten mehrere Hackergruppen die gleiche Verschleierungstaktik auf legitimen Websites ein, um die Lebenszeit ihrer CnC-Server zu verlängern und so mehr Malware zu verbreiten.
BlackCoffee kann Dateien herunter- und hochladen, eine Reverse-Shell erstellen, Dateien und Prozesse auflisten, Dateien umbenennen, verschieben und löschen, Prozesse beenden und seinen Funktionsumfang durch Hinzufügen neuer Backdoor-Befehle erweitern. Die Malware funktioniert mittels Verlinkung auf den Biographieteil eines Profils oder Forumthreads, der vom Angreifer erstellt wurde.
In diesem Fall wurde das Problem durch Kodierung einer IP-Adresse in den Profilseiten und Forumthreads gelöst. Microsoft hat die Signaturen seiner Sicherheitsprodukte aktualisiert, und FireEye hat sog. „Indicators of Compromise (IOCs)“ für BlackCoffee veröffentlicht. Ein gemeinschaftlicher Ansatz konnte bei Erkennung dieser Bedrohung und ihrer Opfer helfen.

In dem Maße, in dem Hacker neue Techniken entwickeln, müssen Sicherheitsexperten bereit sein, diesen neuen Herausforderungen gegenüberzutreten.

Für weitere Infos siehe diesen Post auf Englisch.

Wir wünschen eine Malware-freie Zeit!

Emsi

Emsi

Emsisoft Gründer und Geschäftsführer. 1998, ich war gerade mal 16, schickte mir einer meiner 'Freunde' eine Datei über ICQ, die unerwarteterweise mein CD-ROM Laufwerk öffnete und mir damit einen riesen Schrecken einjagte. Es war der Beginn meiner Reise im Kampf gegen Trojaner und andere Malware. Meine Story

Weitere Artikel