Grupo de cibercriminosos tem base na China. Site da Microsoft é utilizado como parte da infraestrutura de ataque do grupo.
A Microsoft tem adotado medidas para impedir um grupo de hackers, com base na China, de usar seu site TechNet como parte de sua infraestrutura de ataque.
De acordo com a empresa de segurança FireEye, o grupo chamado APT17, sigla em inglês para Advanced Persistent Threat (Ameaça Persistente Avançada), é bem conhecido por ataques contra empreiteiros de defesa, escritórios de advocacia, agências governamentais norte-americanas e empresas de mineração e tecnologia.
Com um alto tráfego, o TechNet é um site que disponibiliza informações técnicas para produtos da Microsoft, além de contar com um grande fórum, onde usuários podem deixar comentários e perguntas.
Um usuário do APT17, apelidado de DeputyDog, criou contas no TechNet e deixou comentários em algumas páginas. Tais comentários continham o nome de um domínio codificado, com o qual computadores infectados pelo malware do grupo eram orientados a entrar em contato.
Segundo Bryce Boland, CTO da FireEye, em seguida, o domínio codificado identificava o computador da vítima para um servidor de comando e controle que fazia parte da infra-estrutura da APT17.
A técnica de solicitar um computador infectado para entrar em contato com um domínio intermediário é frequentemente usada. Geralmente, hackers precisam de máquinas infectadas para alcançar um domínio, cuja probabilidade de parecer suspeita seja mínima, antes de prosseguir para um menos respeitável.
Ás vezes, os domínios de comando e controle são incorporados no próprio malware. O que torna mais fácil para pesquisadores em segurança descobrirem quais deles precisam ser contatados.
Outras vezes, o malware é codificado com um algoritmo que gera possíveis nomes de domínios. No entanto, isso também pode indicar uma engenharia reversa por analistas, disse Boland.
Especialistas em segurança têm observado ataques a outros domínios e serviços legítimos, como o Google Docs e Twitter, com o mesmo objetivo do grupo APT17.
“Esse é um desafio para qualquer plataforma aberta”, ressaltou Boland.
A FireEye e a Microsoft substituíram os domínios codificados no TechNet com os das empresas controladas, o que lhes deu uma ideia mais clara do problema quando as máquinas infectadas sinalizam para tais domínios.
Nos últimos dois anos, o APT17 infectou computadores com um malware que a FireEye batizou de BLACKCOFFEE. Tal malware consegue subir e apagar arquivos, entre outras funções.
Fonte: IDGNOW
Nenhum comentário:
Postar um comentário