블랙테크

BlackTech는 APT(Advanced Persistent Threat) 해커 그룹에 부여된 이름입니다. 같은 그룹은 Palmerworm이라는 이름으로도 만날 수 있습니다. Infosec 전문가들은 2013년에 이 특정 해커 집단의 활동을 처음 발견했습니다. 그 이후로 BlackTech는 동아시아에 위치한 목표물에 대해 여러 위협적인 공격 캠페인을 수행했습니다. 오랜 관찰 기간을 통해 보안 연구원은 BlackTech의 공격 패턴, 선호하는 악성 코드 도구 및 가장 일반적으로 사용되는 절차에 대한 다소 상세한 그림을 만들 수 있습니다. 기본적으로 BlackTech의 운영은 간첩, 기업 데이터 마이닝 및 정보 유출에 집중되어 있습니다. BlackTech는 국가 후원일 가능성이 가장 높으며 대만 관리들은 해커들이 공개적으로 중국의 지원을 받고 있다고 믿고 있다고 말했습니다.

BlackTech의 범위 확장

그러나 이 ATP 그룹에 기인할 수 있는 가장 최근에 탐지된 캠페인은 해커가 표적 범위를 확장하고 이전에 관찰된 지역을 넘어 작전에 뛰어들 수 있음을 보여줍니다. 대만의 미디어, 전자, 금융의 3개 회사, 일본의 엔지니어링 회사, 중국의 건설 회사와 함께 대부분의 표적이 여전히 같은 동아시아 지역에 있었지만 BlackTech도 가까스로 한 회사에 침투했습니다. 미국

연구원에 따르면 BlackTech의 해커는 피해자 중 일부의 네트워크에 상당한 시간을 숨어 있었습니다. 미디어 회사의 네트워크는 1년 동안 손상되었으며 건설 및 금융 회사의 네트워크는 몇 달. 동시에 해커들은 일본 엔지니어링 회사의 네트워크 내부에서 단 이틀, 전자 회사 내부에서 단 몇 주를 보냈습니다. 신원 미상의 미국 피해자는 6개월 동안 네트워크에 손상을 입었습니다.

BlackTech는 맞춤형 맬웨어 도구 및 이중 사용 프로그램에 의존

최신 공격 캠페인의 일환으로 새로 제작된 4가지 백도어 악성코드 위협인 Consock, Waship, Dalwit 및 Nomri 가 사용 중인 것으로 나타났습니다. 이전에 BlackTech는 두 개의 다른 맞춤형 백도어인 Kivars 및 Pled 에 의존했습니다. 이 도구 배치는 완전히 새로운 창작물이거나 이전 도구 배열의 크게 수정된 변형일 수 있습니다.

위협적인 활동을 더 잘 숨기고 정교한 특수 목적 멀웨어를 만들 필요가 없도록 하기 위해 BlackTech는 상당한 양의 이중 사용 도구를 통합했습니다. 이 특정 캠페인에서는 4개의 프로그램이 사용되었으며 그 중 하나는 널리 사용되는 보관 도구인 WinRAR입니다. 다른 세 가지는 원격 액세스 및 데이터 유출에 사용할 수 있는 Putty, 조직 네트워크 내에서 추가 잠재적 대상을 검색하는 데 사용할 수 있는 SNScan, 합법적인 Microsoft 도구인 PSExec입니다.