Бэкдор прячет адреса C&C в блогах Microsoft

Эксперты FireEye и Microsoft успешно закрыли тайный канал C&C-связи бэкдора Blackcoffee, использовавшего с этой целью веб-портал TechNet софтверного гиганта, сообщает «Лаборатория Касперского».

Блоги и открытый форум TechNet активно посещаются пользователями продуктов Microsoft и IT-профессионалами, объем трафика на них высок, и такая легитимная и удобная в функциональном плане платформа как нельзя лучше подходит для маскировки вредоносных коммуникаций.

Злоупотребление на TechNet было выявлено в конце прошлого года; как оказалось, операторы одного из вариантов Blackcoffee создали поддельные профили и публиковали комментарии, внедряя в них закодированные IP-адреса центров управления зловредом. По свидетельству FireEye, безопасность самого портала TechNet при этом не была нарушена.

Техника сокрытия C&C-трафика на популярных и часто посещаемых ресурсах с безупречной репутацией не нова, но она до сих пор исправно помогает злоумышленникам осложнять жизнь ИБ-исследователям и продлевать период активности своих контроллеров. Так, известны случаи, когда командный трафик зловреда для пущей надежности переносился в социальную сеть. Достаточно вспомнить целевые атаки Miniduke, в ходе которых бэкдор подключался к управляющему серверу, используя сообщения в Twitter-аккаунтах.

Эксперты FireEye предполагают, что за данной Blackcoffee-кампанией стоит китайская хакерская группировка APT17, также известная как Deputy Dog, которая использует этот бэкдор с 2013 года. На ее счету уже много разных жертв – преимущественно правительственные учреждения США, юридические агентства международного уровня и IT-компании.
15.05.2015 http://news.softodrom.ru/ap/b22012.shtml