بلک تک

بلک‌تک نامی است که به گروهی از هکرها (APT) داده می‌شود. همین گروه را می توان تحت نام کرم نخل نیز مشاهده کرد. کارشناسان Infosec برای اولین بار در سال 2013 متوجه فعالیت های این گروه هکری خاص شدند. از آن زمان، BlackTech چندین کمپین حمله تهدیدآمیز را علیه اهداف واقع در شرق آسیا انجام داده است. دوره طولانی مشاهده به محققان امنیتی این امکان را داده است که تصویری نسبتاً دقیق از الگوهای حمله BlackTech، ابزارهای بدافزار ترجیحی و رایج‌ترین روش‌های مورد استفاده ایجاد کنند. در هسته خود، عملیات BlackTech بر جاسوسی، داده کاوی شرکتی و استخراج اطلاعات متمرکز است. BlackTech به احتمال زیاد توسط دولت حمایت می شود و مقامات تایوانی اظهار داشتند که معتقدند هکرها توسط چین به طور عمومی حمایت می شوند.

BlackTech دامنه خود را افزایش دهد

با این حال، آخرین کمپین شناسایی شده که می‌توان به این گروه ATP نسبت داد، نشان می‌دهد که هکرها ممکن است محدوده اهداف خود را گسترش داده و در عملیات‌هایی فراتر از مناطق مشاهده‌شده قبلی اقدام کنند. در حالی که بیشتر اهداف هنوز در همان منطقه شرق آسیا قرار داشتند، با سه شرکت - رسانه، الکترونیک و امور مالی، از تایوان، یک شرکت مهندسی از ژاپن، و یک شرکت ساختمانی از چین، بلک‌تک همچنین موفق شد به یک شرکت در این کشور نفوذ کند. ایالات متحده آمریکا

به گفته این محقق، هکرهای بلک‌تک زمان قابل توجهی را در کمین شبکه‌های برخی از قربانیان خود صرف کرده‌اند - شبکه این شرکت رسانه‌ای به مدت یک سال در معرض خطر قرار گرفت، در حالی که شرکت‌های ساختمانی و مالی به شبکه‌های آنها نفوذ کرده بودند. چندین ماه. در همان زمان، هکرها تنها چند روز را در شبکه یک شرکت مهندسی ژاپنی و فقط چند هفته را در یک شرکت الکترونیکی سپری کردند. قربانی ناشناس آمریکایی به مدت شش ماه در شبکه در معرض خطر بود.

BlackTech به ابزارهای بدافزار سفارشی و برنامه‌های دوکاره متکی است

به عنوان بخشی از آخرین کمپین حمله، چهار تهدید بدافزار درپشتی جدید ساخته شده به نام‌های Consock، Waship، Dalwit و Nomri شناسایی شدند که در حال استفاده هستند. پیش از این، BlackTech به دو درب پشتی سفارشی دیگر - Kivars و Pled متکی بود . این دسته از ابزارها ممکن است خلاقیت های کاملاً جدید یا گونه های به شدت اصلاح شده آرایه ابزارهای قبلی باشند.

بلک‌تک برای پنهان کردن بهتر فعالیت‌های تهدیدآمیز خود و نادیده گرفتن نیاز به ایجاد بدافزار هدفمند پیچیده، مقدار قابل‌توجهی از ابزارهای دو منظوره را ترکیب کرده است. در این کمپین خاص، از چهار برنامه استفاده شد که یکی از آنها WinRAR است که یک ابزار آرشیو پرکاربرد است. سه مورد دیگر عبارتند از Putty که می تواند برای دسترسی از راه دور و استخراج داده ها استفاده شود، SNScan که می تواند برای اسکن اهداف بالقوه اضافی در شبکه سازمان استفاده شود و PSExec، ابزار قانونی مایکروسافت.