Des commandes malveillantes dans un site Microsoft

Le par  |  4 commentaire(s) Source : FireEye
numerique

Des attaquants ont caché des données de commande et contrôle d'un malware dans des pages TechNet de Microsoft.

Le portail Web TechNet de Microsoft n'a pas été lui-même compromis mais fin 2014, il a servi à son insu à héberger des informations de commande et contrôle pour une variante du malware Blackcoffee utilisé dans des campagnes de cyberespionnage.

D'après un rapport publié par FireEye, des attaquants ont créé des pages de profil et publié des commentaires dans le forum de TechNet afin d'y placer des noms de domaine codés de commande et contrôle et mener à leur propre serveur. Un passage forcé pour les systèmes infectés par Blackcoffee.

TechNet a ainsi servi pour jouer en toute discrétion les entremetteurs en dissimulant la véritable adresse du serveur de commande et contrôle. En apparence, les commentaires laissés ressemblaient davantage à du spam.

FireEye-APT17-TechNet
Compte tenu de la nature de TechNet avec son forum ouvert et son fort trafic, cette tactique d'obfuscation (ou masquage) rend plus difficile la détection de la réelle localisation du serveur malveillant et lui permet d'agir plus longtemps sous les radars.

Alors que Microsoft a fait le ménage et a publié des signatures mises à jour pour ses produits antimalware, FireEye a établi un lien avec un groupe de " hackers " APT17 ou autrement connu en tant que DeputyDog et basé en Chine.

DeputyDog a mené des intrusions dans des réseaux informatiques qui ont ciblé des agences gouvernementales américaines, l'industrie de la défense, des sociétés technologiques ou encore des organisations non gouvernementales.

Par le passé, le groupe APT17 avait déjà utilisé des pages des moteurs de recherche Google et Bing pour stocker des domaines de commande et contrôle. L'effet de masse semble contribuer à une plus grande discrétion pour les opérations malveillantes.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1842569
c'est juste le coté visible de l'iceberg, faut prendre en compte le coté NSA Inside de l'entreprise et avec W10 çà va être encore plus notre fête
Le #1842635
smalldick a écrit :

c'est juste le coté visible de l'iceberg, faut prendre en compte le coté NSA Inside de l'entreprise et avec W10 çà va être encore plus notre fête


"W10 çà va être encore plus notre fête" ... Même si Microsoft dissimule quelques mouchards (ce dont on est habitué) faut pas trop virer sur le parano. Il ne faut pas oublier que les outils de la NSA sont surtout basés sur l'analyse des "paquets" qui transitent de manière non chiffrée (donc tout OS confondus). L'indiscrétion est souvent entre le clavier et le fauteuil

Suffit de voir ce que l’utilisateur Lambda déballe sur les réseaux sociaux... Pas besoin d'avoir un Wireshark ou un truc du genre pour en savoir un max sur les personnes... Sont assez cons pour donner les infos pertinentes d'eux-mêmes
Le #1842667
smalldick pense que :

..//..avec W10 çà va être encore plus notre fête..//

En même temps c'est, que si 'tu le veut bien'

Personne ne t'oblige d'avoir ou de garder ( vive les lois françaises qui ne s'appliquent pas ) windows sur ton pc.

Le #1842710
en même temps des commandes malveillantes sur un site qui fait l'inventaire des dd le temps que tu surf dessus
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]