Expertos en seguridad y técnicos de Microsoft han descubierto un ataque informático que se estaba distribuyendo desde el propio blog técnico de Microsoft. Los cibercriminales habían escondido sus controles de ataque en el sector de comentarios y los perfiles de Microsoft TechNet para dar órdenes al programa malicioso BlackCoffee.
Los analistas de seguridad de FireEye realizaron la investigación del caso en conjunto con expertos de Microsoft Threat Intelligence Center y descubrieron que el responsable del ataque es el grupo APT 17, también conocido como DeputyDog. Este grupo opera desde China y es conocido por intrusiones anteriores a reconocidas víctimas que incluyen entidades gubernamentales, asociaciones de abogados, organizaciones de la industria de defensa y compañías de tecnología informática, entre otras.
“FireEye ha determinado que APT17, un grupo de amenazas persistentes avanzadas con sede en China, ha publicado mensajes en el foro y creado perfiles para alojar direcciones IP de Comando y Control que dirigen a una variante de la puerta trasera Blackcoffee a su servidor C2C”, explicó la compañía de seguridad.
“[Los atacantes] usaron infraestructura legítima – la capacidad de publicar o generar comentarios en foros y páginas de perfil – para integrar una cadena de caracteres que el malware decodificaría para encontrar y comunicarse con la verdadera dirección IP de Comando y Control”, agregó la empresa en su informe sobre la amenaza.
Los expertos creen que utilizaron el sector de comentarios del foro de Microsoft para esconderse de los análisis de seguridad. También aseguraron que esto no se debe a una falla de seguridad de Microsoft, ya que el mismo ataque sería posible en la mayoría de los foros.
El programa malicioso Blackcoffee tiene la capacidad de subir, bajar, mover, renombrar y eliminar ficheros. También puede terminar procesos y agregar nuevos comandos de puertas traseras, entre otra cosas. El grupo DeputyDog está utilizando este programa en sus ataques desde 2013.
Fuentes
Atacantes esconden el C&C de su malware en los comentarios de Microsoft TechNet