ファイア・アイとマイクロソフト、TechNetを悪用した中国のサイバー脅威グループ「APT17」の新たな手口を浮き彫りに | FireEye

だいぶ古い記事だが、気になったので見てみた。

マルウェアに感染した端末がC2サーバを正規のサービス（TechNet)を踏み台にしてIPアドレスを取得し、通信する、と思われる。

情報セキュリティ業界で「デッド・ドロップ・リゾルバー（Dead Drop Resolver）」と呼ばれるそうで、Microsoft TechNet上でIPアドレスのエンコードしてC2サーバの通信の 踏み台として利用するらしい。

攻撃者のメリットとしては・・

C2サーバの情報をダウンロードするためにアクセスするサイトは正規サービスのため、検知・遮断をされづらい。

C2サーバとの通信が失敗し標的のネットワークにアクセスできなくなった場合に、侵入したマルウェアが駆除されない限り、通信先を変更する事ができる。

代表的なマルウェアは、Elirks、Winntiとのこと。

マクニカとFireEyeのサイトを参考にした。