中国のサイバー犯罪者、Microsoftのブログ「TechNet」を踏み台に攻撃か

ファイア・アイは5月19日、マイクロソフトのTechNetを悪用した中国のサイバー脅威グループ「APT17」の新たな手口を公開した。

2014年後半、ファイア・アイのThreat IntelligenceチームとマイクロソフトのThreat Intelligence Centerは、中国を拠点とするAPT(Advanced Persistent Threat)グループ「APT17」が、マイクロソフトの提供する技術者向けWebポータル「Microsoft TechNet」をサイバー攻撃の踏み台として活用していることを発見し、検証を開始した。

APT17は、BLACKCOFFEEと呼ばれるバックドアを2013年から使用しており、米国の政府、法律事務所、IT企業など、さまざまなターゲットのネットワークに侵入している脅威グループで、Deputy Dogとしても知られている。

同グループはMicrosoft TechNetフォーラムへ投稿してプロフィールページを作成することで、BLACKCOFFEEの亜種を攻撃者のC2サーバーに送りつけると思われるC2 IPアドレスをホスト。

通常、他の脅威グループは、C2 IPアドレスをホストするために正規のWebサイトを使用するが、APT17は、情報セキュリティ業界で「デッド・ドロップ・リゾルバー(Dead Drop Resolver)」