火眼称中国黑客组织APT17在微软TechNet网站中隐藏恶意软件
火眼声称,微软已经采取措施屏蔽了来自于中国的黑客组织使用TechNet网站作为它的攻击基础设施。该黑客组织被火眼称为APT17,攻击过美国国防承包商、法律事务所、政府机构,以及科技公司和矿产企业。
TechNet是微软产品的技术文档网站,包括一个用户进行提问和评论的大型论坛,有着很高的网站流量。
APT17又被称为代理狗(DeputyDog),在TechNet上建立账号并在特定页面留下评论。这些评论包含一个经过编码的域名,被APT17的恶意软件感染的计算机会被导向至此域名。然后这个域名主机再将受害者的计算机联系至命令控制服务器(C2)。
通常在恶意软件中会嵌入C2的域名,但这极容易被安全研究人员发现。因此,为了避免怀疑,高级一点的做法就是使用中间域名作为过渡。
之前安全人员已经发现过一些攻击者使用合法域名来掩盖其真实的行为,Google Docs和推特都曾被利用来完成与APT17类似的目标。对于开放平台来说,这的确是一个挑战。
火眼与微软用可控的域名替代了这些被编码的域名,火眼亚太区CTO布莱斯·博兰德表示,APT17已经活动了许多年,主要通过鱼叉式钓鱼的手段实施初始攻击。其使用一种名为“黑咖啡”的恶意软件感染计算机,该软件可上传、删除文件,并在受害者计算机上建立反向shell。

关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 坚守艺术理想 不负时代使命 7903948
- 2 男子到机场懵了:飞机提前5小时起飞 7807874
- 3 一顿饭花3600元被盯着不让拍视频 7712657
- 4 五年间中国如何乘风破浪、顶压向前 7616092
- 5 全国唯一做宝剑的专业:就业率近100% 7521601
- 6 中山大学133名考生取消录取资格 7424776
- 7 净网:来看1起侵犯公民个人信息案 7333030
- 8 吴彦祖前女友MaggieQ官宣结婚 7231796
- 9 高考生找暑假工失联 家人怀疑在缅甸 7137086
- 10 主人称现在靠网红狗大黄过活 7039777