Backdoor “Blackcoffee” missbraucht Microsofts TechNet

Man mag es kaum glauben, aber die Hackergruppe APT17 missbraucht das renommierte TechNet-Forum von Microsoft für die Übergabe der IP-Adressen der Command- und Control-Server ihrer Backdoor “Blackcoffee”. Das fand die Sicherheitsfirma FireEye aus den USA heraus.

Für den Mißbrauch als Nameserver brauchten die Forenserver nicht kompromittiert werden: Die Hacker versteckten die IP-Adressen einfach in codierter Form in Postings und Profilinformationen des TechNet – so sind sie für mit der Backdoor Blackcoffe infizierte Systeme immer sicher erreichbar.

Im TechNet, waren die Zeichenketten mit den Adressen im Tag @MICROSOFT_CORPORATION eingebaut. Im Netzwerk mit dem infizierten Server tauchen bei Anfragen dazu immer nur die legitimen IP-Adressen zum Beispiel von TechNet auf.

Blackcoffee holt sich von diesen manipulierten Seiten des TechNet eine IP-Adresse und verbindet sich dann direkt mit dem dazugehörigen C&C-Server, benutzt Microsofts TechNet also wie einen Nameserver.

Die Malware Blackcoffee wurde schon 2013 entdeckt und versucht schon immer, ihre Verbindungen als “normalen” Netzwerkverkehr zu tarnen, beispielsweise Anfragen an Suchmaschinen.

Der amerikanische Geheimdienst CIA, der die IT-Sicherheitsfirma FireEye finanziell unterstützt, ordnet Blackcoffe chinesischen Hackern zu.