Backdoor “Blackcoffee” missbraucht Microsofts TechNet

Blackcoffee_APT17Man mag es kaum glauben, aber die Hackergruppe APT17 missbraucht das renommierte TechNet-Forum von Microsoft für die Übergabe der IP-Adressen der Command- und Control-Server ihrer Backdoor “Blackcoffee”. Das fand die Sicherheitsfirma FireEye aus den USA heraus.

Für den Mißbrauch als Nameserver brauchten die Forenserver nicht kompromittiert werden: Die Hacker versteckten die IP-Adressen einfach in codierter Form in Postings und Profilinformationen des TechNet – so sind sie für mit der Backdoor Blackcoffe infizierte Systeme immer sicher erreichbar.

Im TechNet, waren die Zeichenketten mit den Adressen im Tag @MICROSOFT_CORPORATION eingebaut. Im Netzwerk mit dem infizierten Server tauchen bei Anfragen dazu immer nur die legitimen IP-Adressen zum Beispiel von TechNet auf.

BackdoorBlackcoffee holt sich von diesen manipulierten Seiten des TechNet eine IP-Adresse und verbindet sich dann direkt mit dem dazugehörigen C&C-Server, benutzt Microsofts TechNet also wie einen Nameserver.

Die Malware Blackcoffee wurde schon 2013 entdeckt und versucht schon immer, ihre Verbindungen als “normalen” Netzwerkverkehr zu tarnen, beispielsweise Anfragen an Suchmaschinen.

Der amerikanische Geheimdienst CIA, der die IT-Sicherheitsfirma FireEye finanziell unterstützt, ordnet Blackcoffe chinesischen Hackern zu.


wallpaper-1019588
[Review] Manga ~ Mars Red
wallpaper-1019588
Adventskalender 2024: 26. Türchen – Special
wallpaper-1019588
Me and the Alien MuMu – Trailer enthüllt neue Details zum Anime
wallpaper-1019588
AniMachon: Neuer Manga-Verlag gegründet + erste Lizenz