Nhóm tin tặc này được FierEye gọi là APT 17 (mối đe dọa dai dẳng cấp cao), nổi tiếng với những cuộc tấn công vào các nhà thầu quốc phòng, công ty luật, các cơ quan chính phủ Mỹ và các công ty công nghệ, khai thác mỏ.
TechNet là trang web có lưu lượng truy cập cao, chứa các tài liệu hướng dẫn kỹ thuật cho những sản phẩm của Microsoft. Nó cũng có diễn đàn lớn, nơi người dùng có thể bình luận và đặt câu hỏi.
APT 17, có biệt danh là DeputyDog, đã tạo những tài khoản trên TechNet và đăng bình luận trên vài trang nhất định. Những bình luận này chứa tên của một tên miền mã hóa, mà các máy tính bị phần mềm độc hại malware của nhóm này ảnh hưởng sẽ liên lạc tới.
Tên miền mã hóa này sau đó sẽ hướng máy tính của nạn nhân đến một máy chủ ra lệnh và điều khiển, là một phần cơ sở hạ tầng của nhóm APT 17.
Kỹ thuật này yêu cầu một máy tính bị nhiễm liên lạc với một tên miền trung gian thường được sử dụng. Thường là các tin tặc muốn các thiết bị nhiễm malware liên hệ với một tên miền ít có khả năng gây nghi ngờ, trước khi chuyển đến một tên miền ít uy tín hơn.
“Rất bình thường nếu thấy có rất nhiều truy cập vào trang techNet,” Bryce Boland, Giám đốc công nghệ văn phòng châu Á – Thái Bình Dương của TechNet nói.
Đôi lúc, các tên miền ra lệnh và điều khiển này được nhúng trong những malware, nhưng các chuyên gia bảo mật máy tính rất dễ phát hiện ra. Những malware khác được mã hóa với một thuật toán tạo ra các tên miền mà nó nên liên hệ, nhưng cũng dễ bị phát hiện bởi những nhà phân tích.
Các chuyên gia bảo mật đã chứng kiến tin tặc sử dụng những tên miền và dịch vụ hợp pháp, ví dụ như Google Docs và Twitter, vào những cuộc tấn công với mục đích tương tự như APT 17.
FireEye và Microsoft đã thay thế các tên miền mã hóa trên TechNet với những tên miền mà các công ty này kiểm soát, giúp họ phát hiện vấn đề khi những máy tính bị nhiễm liên hệ tới các tên miền này.
APT17 đã “nhắm vào khách hàng của chúng tôi trong nhiều năm,” Boland cho biết.
Những tổ chức này bị tấn công thông qua thủ đoạn lừa đảo phishing, tin tặc gửi email với những liên kết độc hại hoặc tập tin đính kèm nhiễm malware cho nạn nhân.
Trong những năm gần đây, APT17 đã gây lây lan một loại malware có tên gọi BLACKCOFFEE. Phần mềm độc hại này có thể upload tập tin, xóa tập tin, tạo reverse shell trên máy tính, cùng với các tính năng khác.