19 may 2015

Hackers chinos escondían ataques de malware en el sitio de TechNet

Según la empresa FireEye, Microsoft ha tomado medidas para detener a un grupo de hacking en China que utilizaba el sitio web de TechNet como parte de su infraestructura de ataque.

FireEye ha bautizado APT 17 - DeputyDog a un grupo chino que realizaba ataques contra contratistas de defensa, bufetes, agencias gubernamentales estadounidenses, empresa de tecnología y mineras.

APT17 creaba cuentas en el sitio TechNet de Microsoft y luego dejaba comentarios en alguna de sus páginas. En los comentarios figuraban el nombre de un dominio codificado y las computadoras infectadas por el malware. El dominio codificado se refería a un centro de comando y control que formaba parte de la infraestructura de APT17.

"Es completamente normal ver mucho tráfico en TechNet", dijo Bryce Boland, director de FireEye. "A veces, los dominios de comando y control están embebidos en el malware en sí mismo y otras veces, como esta vez, el malware tiene un algoritmo que genera posibles nombres de dominios dónde dirigirse".

"Los expertos en seguridad ya han visto abusos similares de otros dominios legítimos y servicios como Google Docs y Twitter, para lograr el mismo objetivo que APT17", dijo Boland.

El último par de años, APT17 ha infectado computadoras con un malware que FireEye llama  BLACKCOFFEE. El malware puede subir y borrar archivos, crear una shell reversa en una computadora, entre otras funciones y el grupo ha utilizado casos de phishing para propagar el malware.

FireEye ha publicado un informe sobre APT17 [PDF], Microsoft ya han sustituido los dominios codificados en los comentarios de TechNet.

Fuente: PCWorld

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!