BlackTech
BlackTech is de naam die wordt gegeven aan een groep van Advanced Persistent Threat (APT) hackers. Dezelfde groep komt ook voor onder de naam Palmerworm. Infosec-experts merkten de activiteiten van dit specifieke hackercollectief voor het eerst op in 2013. Sindsdien heeft BlackTech verschillende bedreigende aanvalscampagnes uitgevoerd tegen doelen in Oost-Azië. Door de lange observatieperiode hebben de beveiligingsonderzoekers een vrij gedetailleerd beeld kunnen krijgen van de aanvalspatronen van BlackTech, de favoriete malwaretools en de meest gebruikte procedures. In de kern zijn de activiteiten van BlackTech geconcentreerd op spionage, datamining van bedrijven en informatie-exfiltratie. BlackTech wordt hoogstwaarschijnlijk door de staat gesponsord, waarbij Taiwanese functionarissen beweren dat ze geloven dat de hackers publiekelijk worden gesteund door China.
BlackTech breidt zijn bereik uit
De laatste gedetecteerde campagne die aan deze ATP-groep kan worden toegeschreven, laat echter zien dat de hackers mogelijk hun doelwitten uitbreiden en zich wagen aan operaties buiten de eerder waargenomen regio's. Hoewel de meeste doelen zich nog steeds in dezelfde Oost-Aziatische regio bevonden, met drie bedrijven - media, elektronica en financiën, uit Taiwan, een engineeringbedrijf uit Japan en een bouwbedrijf uit China, slaagde BlackTech er ook in om een bedrijf te infiltreren in de VS.
Volgens de onderzoeker hebben de hackers van BlackTech een aanzienlijke hoeveelheid tijd doorgebracht op de loer in de netwerken van sommige van hun slachtoffers - het netwerk van het mediabedrijf was een jaar gecompromitteerd, terwijl de bouw en de financieringsmaatschappijen hun netwerken hadden laten infiltreren voor een paar maanden. Tegelijkertijd brachten de hackers slechts een paar dagen door in het netwerk van een Japans ingenieursbedrijf en slechts enkele weken in een elektronicabedrijf. Het ongeïdentificeerde Amerikaanse slachtoffer is zes maanden in gevaar gebracht op het netwerk.
BlackTech vertrouwt op aangepaste malwaretools en programma's voor tweeërlei gebruik
Als onderdeel van de nieuwste aanvalscampagne werden vier nieuw ontwikkelde malware-bedreigingen voor de achterdeur, genaamd Consock, Waship, Dalwit en Nomri , in gebruik genomen. Eerder vertrouwde BlackTech op twee andere aangepaste achterdeurtjes: Kivars en Pled . Deze reeks tools kunnen geheel nieuwe creaties zijn of sterk gewijzigde varianten van de vorige reeks tools.
Om hun bedreigende activiteit beter te verbergen en de noodzaak om geavanceerde, speciaal gebouwde malware volledig te maken, over te slaan, heeft BlackTech een aanzienlijk aantal tools voor tweeërlei gebruik ingebouwd. In deze specifieke campagne werden vier programma's gebruikt, waaronder WinRAR, een veelgebruikte archiveringstool. De andere drie waren Putty, dat kan worden gebruikt voor externe toegang en data-exfiltratie, SNScan dat kan worden gebruikt om te scannen op aanvullende potentiële doelen binnen het netwerk van de organisatie, en PSExec, een legitieme Microsoft-tool.
