Chinesische Malware kommuniziert über TechNet-Forum

Die Backdoor "Blackcoffee" der APT17 getauften Angreifer liest verschlüsselte IP-Adressen für Command-and-Control-Server aus vermeintlich harmlosen Beiträgen im TechNet-Forum von Microsoft.

In Pocket speichern vorlesen Druckansicht 10 Kommentare lesen
APT17-Malware kommuniziert über das TechNet-Forum

APT17-Malware kommuniziert über das TechNet-Forum

(Bild: FireEye)

Lesezeit: 1 Min.

Die angeblich aus China stammenden Malware-Programmierer der Backdoor namens Blackcoffee legen im TechNet-Forum von Microsoft Beiträge an, um den infizierten Rechnern die IP-Adressen der Command-and-Control-Server mitzuteilen. Das meldet die IT-Sicherheitsfirma FireEye.

In einem Report erklärt FireEye das Vorgehen der Gruppe APT17, die auch unter dem Namen DeputyDog bekannt ist. Demnach legen die Angreifer reguläre Forumsbeiträge an, die zwischen den Wörtern "@MICR0S0FT" und "C0RP0RATI0N" verschlüsselte IP-Adressen enthalten. Die Malware der infizierten Rechner greift also auf eine anscheinend harmlose Webseite eines renommierten Unternehmens zu, was die Enttarnung des Schädlings erschwert.

Die Idee ist allerdings nicht neu: Schon 2009 wurde entdeckt, dass ein Botnetz über Twitter kommuniziert, 2007 war MySpace verwendet worden. (ciw)