C&CのIP通知にMSの「TechNet」を悪用 - 「Deputy Dog」の攻撃グループ
今回のケースでは、コマンド&コントロールサーバとマルウェアとの通信手段に「TechNet」を悪用。IPアドレスの情報をエンコードしてフォーラムのプロフィールページに掲載し、「BLACKCOFFEE」の亜種に対して、コマンド&コントロールサーバのIPアドレスに関する情報を配信していた。
「BLACKCOFFEE」の亜種は、「@MICR0S0FT」と「C0RP0RATI0N」という2つのタグの間にあるエンコード済みIPアドレスの場所を検索。C&Cサーバが発見されたり、テイクダウンされた場合に、エンコード済みIPアドレスを更新することで、あたらしいIPアドレスを共有していたという。
FireEyeは、別の攻撃グループがTwitterやFacebookといったソーシャルメディアをはじめ、正規のウェブサイトを攻撃に悪用するケースを確認しており、こうした攻撃は今後さらなる増加が予想されると指摘している。
(Security NEXT - 2015/05/19 )
ツイート
PR
関連記事
インシデントが前四半期比37.3%増 - サイト改ざんが約2.4倍
「Citrix Bleed 2」への懸念広がる - 提供元は「悪用未確認」強調
国内インシデント、前四半期比9.4%増 - サイト改ざんが1.8倍
米政府、WindowsやApple複数製品の脆弱性悪用に注意喚起
LinuxカーネルのUSBオーディオドライバ脆弱性 - 攻撃の標的に
「Android」にセキュリティパッチ - 複数脆弱性で悪用も
「Android」の3月パッチが公開 - ゼロデイ脆弱性2件に対応
フィッシング被害から個人情報流出や不正メール送信が発生 - 日本無線
「Chrome」のGPU脆弱性修正、WebKit関連のゼロデイ脆弱性と判明
米政府、Apple製品や「Junos OS」の脆弱性悪用に注意喚起
