Nhóm tin tặc APT17 Trung Quốc ẩn nấp đằng sau trang Technet của Microsoft

Công ty bảo mật FireEye vừa phát hiện ra nhóm tin tặc APT17 Trung Quốc sử dụng máy chủ điều khiển C&C dưới vỏ bọc liên quan đến tài nguyên trực tuyến TechNet của Microsoft.

Nghiên cứu mới công bố tuần trước của Microsoft và FireEye tiết lộ nhóm tin tặc tấn công có tổ chức từ Trung Quốc đã tạo ra tài khoản giả mạo trên diễn đàn của Microsoft, trong bài viết của chúng gắn thông tin mã hóa C&C sử dụng bởi một biến thể Trojan BlackCoffee truy cập từ xa. Đây là một kĩ thuật tấn công nguy hiểm vì TechNet là một diễn đàn lớn.

Malware có tên PNGRAT được tìm thấy trong mạng của hai khách hàng. Các nhà nghiên cứu RSA giải thích rằng malware chứa một URL mã hóa cứng đến một trang hồ sơ tài khoản TechNet. Mã độc kết nối đến TechNetm giải mã thông tin ngầm trong một đoạn kí tự @MICRO0S0FT và C0RP0RATI0N. Đây không phải là một mã hóa phực tạp, chỉ cần 15 phút các nhà nghiên cứu đã tìm ra cách giải mã và địa chỉ IP mà kết nối C&C chờ.

FireEye cho rằng các vụ tấn công này liên quan đến APT17 vì nhóm tin tặc này đã sử dụng BlackCoffee gần 2 năm. APT17 nhắm đến các tổ chức chính phủ, các công ty luật quốc tế và công ty công nghệ. APT17 được truyền thông Nhật đưa tin vào cuối năm 2013 với malware khai thác lỗ hổng Zero-day trên Internet Explorer.

threatpost