APT17 versteckt Malware im TechNet-Forum APT17 versteckt Malware im TechNet-Forum - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


27.05.2015 pi/Rudolf Felser

APT17 versteckt Malware im TechNet-Forum

FireEye stellt in dem Report "Hiding in Plain Sight: FireEye Exposes Chinese APT Obfuscation Tactic" eine bisher unbekannte Command-and-Control-Angriffstaktik vor.

© jamdesign - Fotolia.com

Gemeinsam haben FireEye Threat Intelligence und das Microsoft Threat Intelligence Center das Vorgehen der chinesischen Gruppierung APT17 entdeckt und untersucht. Bei APT17 handelt es sich um Cyberkriminelle, die Advanced Persistent Threats für ihre Angriffe verwenden und auch unter dem Namen Deputy Dog bekannt sind.

Die Command-and-Control-Angriffsmethode wird seit 2013 beobachtet und beinhaltet die Backdoor "BLACKCOFFEE". Ziel der untersuchten Angriffe war es laut einem Eintrag im FireEye-Blog unter anderem eine Reihe von IT-Unternehmen, Anwaltskanzleien und US-Regierungsbehörden. FireEye hat beobachtet, dass eine BLACKCOFFEE-Variante Command-and-Control-Aktivitäten der Gruppierung durch Datenverschlüsselung auf dem TechNet-Webportal von Microsoft verschleiert. Bei dem Portal handelt es sich um eine wichtige Online-Ressource für IT-Profis.

Anstatt TechNet selbst anzugreifen, nutzte APT17 die Möglichkeit, Profile im Forum anzulegen und dort Beiträge zu schreiben, die verschlüsselte Command-and-Control-Malware beinhalteten. Diese Vorgehensweise macht es für Netzwerk-Sicherheitsexperten schwierig, die Malware-Quelle zu lokalisieren, und erlaubt der Command-and-Control-Infrastruktur über einen längeren Zeitraum hinweg unentdeckt aktiv zu bleiben.

Durch Einspeisen verschlüsselter Daten auf TechNet-Seiten war das Team von FireEye- und Microsoft-Experten in der Lage, weitere Einblicke in die Funktionsweise der Malware und die Ziele von APT17 zu erhalten. FireEye hat Adaptionen dieser Methoden bereits auch bei anderen Gruppierungen beobachtet und erwartet, dass dieser Trend zunehmen wird. Dennoch hat die Sicherheitsbranche diese Vorgehensweise bisher kaum diskutiert.

"In diesem Report bringen wir eine neue Angriffsmethode bei Advanced Persistent Threats ans Licht, die selbst für geschulte Sicherheitsexperten eine Herausforderung darstellen kann. Cyberkriminelle finden immer neue Wege, um ihre Ziele zu erreichen und Angriffe erfolgreich durchzuführen. Die Erkenntnisse dieses Reports unterstreichen einmal mehr, dass Technologie und Experten den Urhebern von Cyberbedrohungen immer einen Schritt voraus sein müssen", sagt Frank Kölmel, Vice President Central & Eastern Europa bei FireEye.

FireEye und Microsoft haben die Aktivitäten von APT17 bei TechNet, mit denen sie ihre Angriffe unentdeckt durchzuführen versuchten, unterbinden können. Zusammenarbeit und Austausch von Erkenntnissen aus Bedrohungsdaten kann Netzwerk-Sicherheitsexperten in ihrer Arbeit unterstützen und die Entwicklung innovativer Lösungen voranbringen. FireEye Threat Intelligence und das Microsoft Threat Intelligence Center wollen ihre Zusammenarbeit weiter fortsetzen, um Nutzer gemeinsam vor Cyberangriffen zu schützen. (pi)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • free-com solutions gmbh

    free-com solutions gmbh Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • NAVAX Unternehmensgruppe

    NAVAX Unternehmensgruppe Wasser- und Energieversorgung, Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Konsumgüterindustrie, Immobilien,... mehr
  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr

Hosted by:    Security Monitoring by: