Threatpost - The First Stop For Security News |
Threatpostが5月18日に掲載した記事「APT Group Embeds Command and Control Data on TechNet Pages|Threatpost」で、「APT17」や「Deputy Dog」と呼ばれる中国のハッカー集団の活動が再び活発になってきていると伝えた。さらにコマンドおよび制御サーバにMicrosoftのTechNetオンラインのリソースを使うなどしてセキュリティソフトなどにブロックされにくいように偽装していると説明されている。
記事はMicrosoft、FireEye、RSA Securityなどの発表を引き合いに出して攻撃の内容などを伝えている。TechNetのようなオンラインリソースは広く活用されており、こうしたサイトからの通信は通常遮断されることがない。攻撃者はこうした特性を利用して巧みに攻撃をカモフラージュしているという。
この方法は他のサイトに対しても適用可能で、TechNetのみが対象とはならない点に注意が必要。記事の中では近日中にAmazonのWebサイトが同じルーチンで使われる危険性もあるとして注意を呼びかけている。ユーザや管理者はソフトウェアを常に最新版に保つとともに、セキュリティソフトウェアを併用するなどしてマルウェアに感染しないようにすることが推奨される。
