BlackTech

A BlackTech az Advanced Persistent Threat (APT) hackercsoport elnevezése. Ugyanez a csoport Palmerworm néven is megtalálható. Az Infosec szakértői először még 2013-ban figyeltek fel ennek a hackerkollektívának a tevékenységére. Azóta a BlackTech számos fenyegető támadási kampányt hajtott végre Kelet-Ázsiában található célpontok ellen. A hosszú megfigyelési időszak lehetővé tette a biztonsági kutatóknak, hogy meglehetősen részletes képet alkossanak a BlackTech támadási mintáiról, a preferált malware eszközökről és a leggyakrabban használt eljárásokról. A BlackTech tevékenysége lényegében a kémkedésre, a vállalati adatbányászatra és az információk kiszűrésére összpontosul. A BlackTech nagy valószínűséggel államilag támogatott, és tajvani tisztviselők kijelentették, hogy szerintük Kína nyilvánosan támogatja a hackereket.

A BlackTech kiterjeszti hatókörét

A legfrissebb észlelt kampány azonban, amely ennek az ATP-csoportnak tulajdonítható, azt mutatja, hogy a hackerek bővíthetik célpontjaikat, és a korábban megfigyelt régiókon túli műveletekre merészkednek. Míg a célpontok többsége még mindig ugyanabban a kelet-ázsiai régióban volt, három vállalattal - média, elektronikai és pénzügyi, Tajvanról, egy mérnöki cég Japánból és egy építőipari cég Kínából, a BlackTechnek sikerült beszivárognia egy cégbe is. Az Egyesült Államok

A kutató szerint a BlackTech hackerei jelentős időt töltöttek azzal, hogy egyes áldozataik hálózataiban leselkednek – a médiacég hálózata egy évig kompromittálódott, míg az építkezések és a pénzügyi cégek hálózataiba beszivárogtak. Néhány hónap. Ugyanakkor a hackerek csak néhány napot töltöttek egy japán mérnöki cég hálózatában, és néhány hetet egy elektronikai cégnél. Az azonosítatlan amerikai áldozat hálózata hat hónapra veszélybe került.

A BlackTech egyéni kártevő-eszközökre és kettős felhasználású programokra támaszkodik

A legutóbbi támadási kampány részeként négy újonnan kidolgozott hátsó ajtós rosszindulatú fenyegetést észleltek, Consock, Waship, Dalwit és Nomri néven . Korábban a BlackTech két másik egyedi hátsó ajtóra támaszkodott – a Kivarsra és a Pledre . Ez az eszközköteg lehet teljesen új alkotás, vagy az előző eszköztömb erősen módosított változata.

Annak érdekében, hogy jobban elrejtse fenyegető tevékenységüket, és teljesen kihagyja a kifinomult, célzott kártevők létrehozásának szükségességét, a BlackTech jelentős mennyiségű kettős felhasználású eszközt épített be. Ebben a kampányban négy programot alkalmaztak, amelyek közül az egyik a WinRAR, egy széles körben használt archiváló eszköz. A másik három a Putty, amely távoli elérésre és az adatok kiszűrésére használható, az SNScan, amellyel további potenciális célpontokat kereshet a szervezet hálózatán belül, és a PSExec, egy legitim Microsoft-eszköz.