FireEye:中国黑客组织APT17利用微软TechNet技术社区作为“攻击中转站”

发表于:2015-05-17 13:30:00 来源: 黑客与极客 阅读数(0人)

中国黑客组织APT17

 

大部分情况下,黑客通常会极力隐藏自己的攻击痕迹。但是俗话说“最危险的地方就是最安全的地方”,根据美国安全公司FireEye的最新安全报告,中国黑客组织APT17利用微软TechNet技术社区作为“攻击中转站”。


三十六计之瞒天过海


黑客组织APT17选择了一个危险而理想的根据地——TechNet。TechNet是微软旗下的技术支持及问答社区,每日拥有极高的流量,而APT17却用它来存储恶意命令和操作控制指令。


中国黑客组织APT17

 

尽管TechNet网站本身并没有漏洞,但APT17组织在微软TechNet网站上普通用户主页和论坛帖子上,留下了加密的IP地址,用来向该组织精心打造的恶意软件“BLACKCFFEE”发送升级信息和操作指令。这种加密让安全研究人员更加难以找出黑客真实使用的域名地址。


FireEye和微软目前已锁定了黑客的账户,关闭了他们的主页的访问权限,以此来阻止TechNet成为攻击的中转站。


中国黑客组织APT17

 

纠结的微软和安全公司


APT17机智的黑客们以前曾经利用搜索引擎Google和Bing来存储命令和那些被控制的域名列表,而这次采用TechNet网站进行存储,无疑是一个非常明智的选择。因为很多部分企业都离不开微软的服务,如果强行关闭或者锁定藏在微软网站上的“攻击中转站”,将可能造成不可预估的损失。


FireEye安全战略总监Jason Steer解释到:

“即使我们了解相关情况,并且也检测得到黑客发来的恶意数据,但我们仍然不可能去ban掉这个微软网站的的流量,因为很多公司都离不开它。大隐隐于市的手段变得越来越盛行,因为它即难查证,也难以ban掉。”

此次APT17使用的技术手段警醒了我们:攻击者的节奏始终领先于执法机构,他们早知道执法机构会循着蛛丝马迹追踪过来。所以APT17向中国某个IP源取出工具指令和恶意命令集并加密,然后把它们与加密后的IP地址大摇大摆的填写在知名(微软、谷歌等)网站上某些不起眼的页面上,大大保证了攻击拥有稳定性和隐蔽性。


APT17的黑历史


黑客组织APT17还有个特殊嗜好——专黑西方技术公司。FireEye公司认为,这帮家伙肯定与2013年的安全公司Bit9被黑脱不了干系。此外,APT17还攻击过美国的政府机构、国防工业、律师事务所、信息技术公司和矿业机构。


相关新闻

大家都在学

课程详情

网络攻击与对抗

课程详情

入侵检测与入侵防御

课程详情

网络安全与防护