بلاك تك

بلاك تك الوصف

BlackTech هو الاسم الذي يطلق على مجموعة من المتسللين للتهديد المستمر المتقدم (APT). يمكن أيضًا مواجهة المجموعة نفسها تحت اسم Palmerworm. لاحظ خبراء Infosec لأول مرة أنشطة هذا الطريق الجماعي المتسلل في عام 2013. ومنذ ذلك الحين ، نفذت BlackTech عدة حملات هجومية تهديدية ضد أهداف تقع في شرق آسيا. سمحت فترة المراقبة الطويلة للباحثين الأمنيين بإنشاء صورة مفصلة إلى حد ما لأنماط هجوم BlackTech ، وأدوات البرامج الضارة المفضلة ، والإجراءات الأكثر استخدامًا. تركز عمليات BlackTech في جوهرها على التجسس واستخراج بيانات الشركات واستخراج المعلومات. من المرجح أن تكون BlackTech مدعومة من الدولة ، حيث صرح المسؤولون التايوانيون أنهم يعتقدون أن المتسللين مدعومون من الصين علنًا.

تقوم BlackTech بتوسيع نطاق وصولها

ومع ذلك ، فإن أحدث حملة تم الكشف عنها والتي يمكن أن تُنسب إلى مجموعة ATP هذه تُظهر أن المتسللين قد يوسعون نطاق أهدافهم ويغامرون في عمليات تتجاوز المناطق التي تم رصدها سابقًا. في حين أن معظم الأهداف كانت لا تزال موجودة في نفس منطقة شرق آسيا ، مع ثلاث شركات - وسائل الإعلام ، والإلكترونيات ، والتمويل ، من تايوان ، وهي شركة هندسية من اليابان ، وشركة إنشاءات من الصين ، تمكنت BlackTech أيضًا من التسلل إلى شركة في الولايات المتحدة

وفقًا للباحث ، قضى المتسللون من BlackTech وقتًا طويلاً في إخفاء شبكات بعض ضحاياهم - تعرضت شبكة الشركة الإعلامية للاختراق لمدة عام ، في حين تم اختراق شبكات البناء والشركات المالية لشبكاتهم من أجل عدة أشهر. في الوقت نفسه ، أمضى المتسللون يومين فقط داخل شبكة شركة هندسية يابانية وعدة أسابيع فقط داخل شركة إلكترونيات. الضحية الأمريكية المجهولة الهوية التي تعرضت للاختراق الشبكة لمدة ستة أشهر.

تعتمد BlackTech على أدوات البرامج الضارة المخصصة والبرامج ذات الاستخدام المزدوج

كجزء من حملة الهجوم الأخيرة ، تم رصد أربعة تهديدات للبرامج الضارة التي تم إنشاؤها حديثًا باسم Consock و Waship و Dalwit و Nomri. في السابق ، كانت BlackTech تعتمد على بابين خلفيين مخصصين آخرين - Kivars و Pled . قد تكون هذه المجموعة من الأدوات عبارة عن إبداعات جديدة تمامًا أو متغيرات معدلة بشكل كبير من مجموعة الأدوات السابقة.

لإخفاء نشاطهم المهدد بشكل أفضل وتخطي الحاجة إلى إنشاء برامج ضارة متطورة مصممة لغرض معين بالكامل ، قامت BlackTech بدمج قدر كبير من الأدوات ذات الاستخدام المزدوج. في هذه الحملة بالذات ، تم استخدام أربعة برامج ، أحدها هو WinRAR ، وهو أداة أرشفة مستخدمة على نطاق واسع. الثلاثة الآخرون هم المعجون ، والذي يمكن استخدامه للوصول عن بعد واستخراج البيانات ، و SNScan الذي يمكن استخدامه للبحث عن أهداف محتملة إضافية داخل شبكة المنظمة ، و PSExec ، وهي أداة شرعية من Microsoft.