平凡な視界に隠れる:FireEyeとMicrosoftが中国のAPTグループの難読化戦術を暴露

apt17-graphic news

2014 年後半、FireEye 脅威インテリジェンスと Microsoft 脅威インテリジェンス センターは、Microsoft の TechNet Web ポータル (IT プロフェッショナルにとって貴重な Web リソース) でコマンド アンド コントロール (CnC) 難読化戦術を発見しました。

この脅威グループは、マルウェア BLACKCOFFEE の亜種で使用するために、プロファイルを作成してフォーラムに投稿する機能を利用して、エンコードされた CnC を埋め込みました。この手法により、ネットワーク セキュリティの専門家が CnC の実際の場所を特定することが難しくなり、CnC インフラストラクチャが長期間にわたってアクティブなままになる可能性があります。 TechNet のセキュリティは、この戦術によって決して損なわれることはありませんでした。

FireEye は、2013 年から BLACKCOFFEE を採用していることから、一般に Deputy Dog と呼ばれる中国を拠点とする高度で持続的な脅威である APT17 がこの試みの背後にあると判断しています。 、および国際的な法律事務所と情報技術企業。本日、FireEye は BLACKCOFFEE の侵害の痕跡 (IOC) をリリースし、Microsoft はマルウェア対策製品の署名をリリースしました。

apt17-graphic

エンコードされたデータを TechNet ページの一部に挿入することで、FireEye と Microsoft のチームは、マルウェアと被害者に関する洞察を得ることができました。この情報は、ウイルス対策コミュニティと協力して署名を生成し、BLACKCOFFEE の影響を受けるシステムを特定して駆除し、他のフォーラムやメッセージ ボードの管理者にこの手法に注意するよう警告するのに役立ちます。セキュリティ コミュニティはまだこの手法について広く議論していませんが、FireEye は他の脅威グループがこれらの手段を採用していることを観察しており、この傾向が他のコミュニティ サイトでも続くと予想しています。

サイバー脅威インテリジェンスのコラボレーションにより、ネットワーク セキュリティの研究者を動員し、革新的なソリューションを推進できます。 FireEye Threat Intelligence と Microsoft Threat Intelligence Center は、引き続き協力してユーザーを保護する方法を模索していきます。

侵害の痕跡

侵害の痕跡は、 https ://github.com/fireeye/iocs の Github で入手できます。

レポート全文を読む。

参照: https://www.mandiant.com/resources/blog/hiding_in_plain_sight

Comments

タイトルとURLをコピーしました