C&CのIP通知にMSの「TechNet」を悪用 - 「Deputy Dog」の攻撃グループ
今回のケースでは、コマンド&コントロールサーバとマルウェアとの通信手段に「TechNet」を悪用。IPアドレスの情報をエンコードしてフォーラムのプロフィールページに掲載し、「BLACKCOFFEE」の亜種に対して、コマンド&コントロールサーバのIPアドレスに関する情報を配信していた。
「BLACKCOFFEE」の亜種は、「@MICR0S0FT」と「C0RP0RATI0N」という2つのタグの間にあるエンコード済みIPアドレスの場所を検索。C&Cサーバが発見されたり、テイクダウンされた場合に、エンコード済みIPアドレスを更新することで、あたらしいIPアドレスを共有していたという。
FireEyeは、別の攻撃グループがTwitterやFacebookといったソーシャルメディアをはじめ、正規のウェブサイトを攻撃に悪用するケースを確認しており、こうした攻撃は今後さらなる増加が予想されると指摘している。
(Security NEXT - 2015/05/19 )
ツイート
PR
関連記事
国内インシデント、前四半期比9.4%増 - サイト改ざんが1.8倍
米政府、WindowsやApple複数製品の脆弱性悪用に注意喚起
LinuxカーネルのUSBオーディオドライバ脆弱性 - 攻撃の標的に
「Android」にセキュリティパッチ - 複数脆弱性で悪用も
「Android」の3月パッチが公開 - ゼロデイ脆弱性2件に対応
フィッシング被害から個人情報流出や不正メール送信が発生 - 日本無線
「Chrome」のGPU脆弱性修正、WebKit関連のゼロデイ脆弱性と判明
米政府、Apple製品や「Junos OS」の脆弱性悪用に注意喚起
Apple、「iOS 18.3.2」など公開 - 旧iOSにゼロデイ攻撃の可能性
【特別企画】なぜ今「ASM」が注目されるのか - 攻撃者視点こそ防御のかなめ
