USD 81.27 ЕВРО 94.39

Другие новости

Аналитика доходности ASIC-майнеров и динамики BTC за сентябрь 2025 года

Заявки на конкурс «Лидеры цифровой трансформации» в Москве поступили из 27 стран

Более пяти тысяч участников объединил Moscow Startup Summit

Москвичи высоко оценили проект для владельцев собак «Друг, спасатель, защитник»

Уже более 14 тысяч москвичей подали заявки на вступление в волонтерский корпус 80-летия Победы

Павильон ВДНХ и Саввинское подворье: какие памятники архитектуры заявлены на конкурс «Московская реставрация»

Все новости

Китайские хакеры используют Microsoft TechNet для атак

Экономика

Группа DeputyDog нацелена на государственные учреждения и компании

Microsoft предприняла шаги, чтобы остановить использование сайта TechNet китайской группой хакеров в рамках своей инфраструктуры атаки, в соответствии с информацией компании FireEye.
Группа, которую FireEye называет APT (advanced persistent threat) 17, хорошо известна за нападения на подрядчиков министерства обороны, юридические фирмы, правительственные учреждения США, технологические и горнодобывающие компании.

TechNet является сайтом с высоким трафиком, на котором содержится техническая документация на продукты Microsoft. Он также имеет большой форум, где пользователи могут оставлять комментарии и задавать вопросы.

Группа APT17 с никнеймом DeputyDog создавала учетные записи на веб-сайте TechNet, а затем оставляла комментарии на определенных страницах. Эти комментарии содержат имя закодированного домена, с которым компьютеры, зараженные вредоносными программами группы, были проинструктированы связаться.

Затем кодированный домен отправлял компьютер жертвы на командно-контрольный сервер, который был частью инфраструктуры APT17, сказал главный технический директор FireEye Брайс Боланд.

Часто используется методика, когда зараженный компьютер связывается с посредническим доменом. Хакеры хотят, чтобы зараженные машины обратились к домену, который не выглядит подозрительно, прежде чем перейти на менее авторитетный.

«Это совершенно нормально, когда через TechNet проходит много трафика», говорит Боланд.

Иногда, командно-контрольные домены встроены в сами вредоносные программы, но это позволяет исследователям компьютерной безопасности легко обнаружить — с какими из них он контактирует. В других случаях, вредоносные программы кодируются с помощью алгоритма, который генерирует возможные доменные имена, с которыми следует связаться, но с помощью реверс инжиниринга их также можно узнать, сказал Боланд.

Эксперты по безопасности уже отмечали случаи, когда хакеры используют другие легитимные домены и сервисы, такие как Google Docs и Twitter, чтобы достичь той же цели, что и APT17, сказал Боланд.

«Это вызов для любой открытой платформы», сказал он.
FireEye и Microsoft заменили закодированные домены на TechNet на контролируемые компанией, что дало им представление о проблеме, когда инфицированные машины обращались на эти домены.

APT17 «была нацелена на наших клиентов в течение многих лет», сказал Боланд. Против организаций, как правило, используется целевой фишинг, который заключается в отправке письма с вредоносными ссылками или вложениями, сказал он.

За последние пару лет, APT17 заражала компьютеры вредоносной программой, которую FireEye называет BLACKCOFFEE. Данная вредоносная программа, среди других функций, может загружать файлы, удалять файлы и создавать реверсную оболочку на компьютере.