ファイア・アイは5月19日、マイクロソフトのTechNetを悪用した中国のサイバー脅威グループ「APT17」の新たな手口を公開した。

APT17によるTechNet悪用手法の概要

2014年後半、ファイア・アイのThreat IntelligenceチームとマイクロソフトのThreat Intelligence Centerは、中国を拠点とするAPT(Advanced Persistent Threat)グループ「APT17」が、マイクロソフトの提供する技術者向けWebポータル「Microsoft TechNet」をサイバー攻撃の踏み台として活用していることを発見し、検証を開始した。

APT17は、BLACKCOFFEEと呼ばれるバックドアを2013年から使用しており、米国の政府、法律事務所、IT企業など、さまざまなターゲットのネットワークに侵入している脅威グループで、Deputy Dogとしても知られている。

同グループはMicrosoft TechNetフォーラムへ投稿してプロフィールページを作成することで、BLACKCOFFEEの亜種を攻撃者のC2サーバーに送りつけると思われるC2 IPアドレスをホスト。

通常、他の脅威グループは、C2 IPアドレスをホストするために正規のWebサイトを使用するが、APT17は、情報セキュリティ業界で「デッド・ドロップ・リゾルバー(Dead Drop Resolver)」と呼ばれる、「エンコード済み」のC2 IPアドレスを正規のMicrosoft TechNetページに埋め込むという手法を用いている。

TechNetフォーラムへのATP17による投稿

Microsoft TechNet上でIPアドレスのエンコードを行うことで、攻撃者の真のC2サーバーの位置の特定が難しくなるのだという。こうした攻撃は、TwitterやFacebookなどのSNSをも悪用してマルウェア配信・外部通信を行っているケースも有るとしており、このトレンドは今後も続くとファイア・アイは分析している。