MicrosoftのITプロフェッショナル向けWebポータルのTechNetが中国ベースのハッカー集団のAPT17に利用されていることをFireEyeが確認した。
APT17はTechNetのアカウントを作成し、エンコードされたドメインを埋め込んだコメントを残していた。エンコードされたC&C IPアドレスをホストするプロファイルページを作成し、PCがBLACKCOFFEEマルウェアに感染すると、このC&CはAPT17のC&Cサーバに送信される。この手口はTechNetのセキュリティが破られたわけではなく、他のフォーラムでも利用される可能性がある。
APT17はUSの政府機関を始め、防衛産業、法律事務所、情報技術など世界中の民間企業もターゲットにしている。C&C 通信のエンコードのために、人気企業のWebサイトを使用し、有名な検索エンジンを使用している。これらの手法は企業がこれらの脅威を検知して防御するのを困難にする目的であったとみられる。同社は、このエンコーディングと難読化による手法は今後世界中に広がると予測している。
