Mit der chinesischen Hackergruppe namens APT17 hat Hacking eine neue Ebene erreicht, denn die Services des Microsoft Technet-Portals werden verwendet, um ihre CnC-Server zu verbergen. Laut FireEye setzten mehrere Hackergruppen die gleiche Verschleierungstaktik auf legitimen Websites ein, um die Lebenszeit ihrer CnC-Server zu verlängern und so mehr Malware zu verbreiten.
BlackCoffee kann Dateien herunter- und hochladen, eine Reverse-Shell erstellen, Dateien und Prozesse auflisten, Dateien umbenennen, verschieben und löschen, Prozesse beenden und seinen Funktionsumfang durch Hinzufügen neuer Backdoor-Befehle erweitern. Die Malware funktioniert mittels Verlinkung auf den Biographieteil eines Profils oder Forumthreads, der vom Angreifer erstellt wurde.
In diesem Fall wurde das Problem durch Kodierung einer IP-Adresse in den Profilseiten und Forumthreads gelöst. Microsoft hat die Signaturen seiner Sicherheitsprodukte aktualisiert, und FireEye hat sog. „Indicators of Compromise (IOCs)“ für BlackCoffee veröffentlicht. Ein gemeinschaftlicher Ansatz konnte bei Erkennung dieser Bedrohung und ihrer Opfer helfen.
In dem Maße, in dem Hacker neue Techniken entwickeln, müssen Sicherheitsexperten bereit sein, diesen neuen Herausforderungen gegenüberzutreten.
Für weitere Infos siehe diesen Post auf Englisch.
Wir wünschen eine Malware-freie Zeit!