Microsoft Technet Serve de Host para Endereços IP Relacionados ao Malware "BLACKCOFFEE"

Um grupo chinês responsável pela propagação de Ameaças Avançadas Persistentes (APTs), usou o portal TechNet da Microsoft para ocultar os endereços IP dos servidores de comando e controle (C & C) do malware BLACKCOFFEE. A praga é uma amostra de malware que está sendo usada em campanhas de cyber-espionagem. As seqüências de endereços IP foram publicadas em diferentes threads em fóruns, páginas de perfil ou comentários com utilização de criptografia, e foram acessadas ​​pelo malware após o comprometimento de um sistema. O método também é conhecido como "dead drop resolver". Conforme relataram os pesquisadores da FireEye e Microsoft Intelligence Center, eles investigaram a tática utilizada, bloqueando as páginas que contêm os IPs, a fim de obter os "insights" sobre as atividades mais recentes do malware "BLACKCOFFEE". O grupo por trás dessa campanha cybercriminosa tem sido chamado de "APT17" e também é conhecido como DeputyDog, cuja manipulação de diferentes variantes do "BLACKCOFFEE" tem sido monitorada desde 2013.


As ações do malware foram documentadas, no passado, pela FireEye: as vítimas que variam de entidades do governo dos EUA para a indústria de defesa, escritórios de advocacia, empresas de tecnologia da informação, empresas de mineração e organizações não-governamentais. Uma vez que "BLACKCOFFEE" está instalado em um computador, ele pode exfiltrar informações, bem como adicionar novos dados, criar um shell reverso e encerrar os processos em execução. Ainda de acordo com a análise da FireEye, o malware inclui os links para as páginas da TechNet contendo os endereços do C & C. A string numérica está localizada entre dois marcadores, "@ MICR0S0FT" e "C0RP0RATI0N", em uma forma codificada.


Saiba Mais:

[1] Softpedia - News http://news.softpedia.com/news/Micro...C-481193.shtml