Chinese hackers gebruiken TechNet als verkapte commandocentrale

Het forum TechNet van Microsoft dat is bedoeld voor beheerders (vooral van Windows), blijkt onderdeel van de infrastructuur van Chinese hackers.

De website van Microsofts TechNet is gebruikt als verkapte commandocentrale van APT17. Deze afkorting is de naam van een groep Chinese hackers die het gemunt hebben op overheden in het Westen, bedrijven en industrieën. Dit is ontdekt door FireEye.

Gecodeerde instructies en adressen
Het forum is vooral populair onder Windows-beheerders. Dit forum zelf is niet gehackt. De hackers maakten normale accounts aan en plaatsten normale reacties. Hierdoor vielen ze niet op. Echter, de reacties waren voorzien van gecodeerde instructies en adressen van de daadwerkelijke Command and Control-servers.

Tussenstation
Computers die al geïnfecteerd waren met BlackCoffee-malware kwamen via het forum aan instructies voor malware-modules of exfiltratie van bedrijfs- of staatsgeheimen. Op deze manier konden de locaties van de Command and Control-servers verborgen worden. Microsofts TechNet deed daarbij dienst als onschuldig ogend gecodeerd tussenstation. Behalve TechNet zijn ook Google Docs en Twitter regelmatig het slachtoffer van deze praktijken.

Aanmelden voor onze nieuwsbrief