Зловред использовал портал Microsoft TechNet

Китайская хакерская группа APT17 использовала страницы профилей и форумы на портале Microsoft TechNet для публикации IP–адресов своих командных серверов. Деятельность злоумышленников раскрыли специалисты FireEye и Microsoft Threat Intelligence Center, которые опубликовали специальный отчёт на эту тему.

Хакеры с особым цинизмом прятали IP–адреса в виде закодированных строк, которые публиковались с тегами “@MICROSOFT” и “CORPORATION”.

По информации специалистов, группа APT17 специализируется на шпионаже против американских государственных и общественных организаций, оборонных подрядчиков, юридических фирм и др. Один из используемых ими инструментов — многофункциональный бэкдор BLACKCOFFEE. Публикуемые IP–адреса были вспомогательным средством для этого бэкдора. Анализ этого зловреда помог определить, что злоумышленники используют Microsoft TechNet для передачи информации.

Получив с TechNet адрес действующего C&C–сервера, бэкдор устанавливал с ним канал связи и передавал туда файлы, собранные на компьютере жертвы.

Индикаторы заражения BLACKCOFFEE опубликованы на Github.