BlackTech

BlackTech é o nome dado a um grupo de hackers Advanced Persistent Threat (APT). O mesmo grupo também pode ser encontrado com o nome Palmerworm. Os especialistas da Infosec notaram pela primeira vez as atividades desse hacker coletivo em 2013. Desde então, a BlackTech realizou várias campanhas de ataque ameaçadoras contra alvos localizados no Leste Asiático. O longo período de observação permitiu que os pesquisadores de segurança criassem uma imagem bastante detalhada dos padrões de ataque da BlackTech, das ferramentas de malware preferidas e dos procedimentos mais comumente usados. Em sua essência, as operações da BlackTech estão concentradas em espionagem, mineração de dados corporativos e exfiltração de informações. A BlackTech é provavelmente patrocinada pelo Estado, com autoridades taiwanesas afirmando que acreditam que os hackers são apoiados publicamente pela China.

O BlackTech Amplia o Seu Alcance

No entanto, a última campanha detectada que pode ser atribuída a esse grupo ATP mostra que os hackers podem estar expandindo sua gama de alvos e se aventurando em operações além das regiões observadas anteriormente. Enquanto a maioria dos alvos ainda estavam localizados na mesma região da Ásia Oriental, com três empresas - mídia, eletrônica e finanças, de Taiwan, uma empresa de engenharia do Japão e uma empresa de construção da China, a BlackTech também conseguiu se infiltrar em uma empresa em os EUA

Segundo o pesquisador, os hackers da BlackTech passaram um tempo considerável à espreita nas redes de algumas de suas vítimas - a rede da empresa de mídia ficou comprometida por um ano, enquanto as construtoras e financeiras tiveram suas redes infiltradas por vários meses. Ao mesmo tempo, os hackers passaram apenas alguns dias dentro da rede de uma empresa de engenharia japonesa e apenas algumas semanas dentro de uma empresa de eletrônicos. A vítima americana não identificada teve sua rede comprometida por seis meses.

O BlackTech Conta com Ferramentas de Malware Personalizadas e Programas de Duplo Uso 

Como parte da última campanha de ataque, quatro ameaças de malware de backdoor recém-criadas, chamadas Consock, Waship, Dalwit e Nomri, foram detectadas em uso. Anteriormente, a BlackTech contava com dois outros backdoors personalizados - Kivars e Pled . Esse lote de ferramentas pode ser inteiramente novo ou conter variantes fortemente modificadas da série anterior de ferramentas.

Para ocultar melhor a sua atividade ameaçadora e ignorar a necessidade de criar malware sofisticado desenvolvido para esse fim, o BlackTech incorporou uma quantidade considerável de ferramentas de uso duplo. Nesta campanha em particular, foram empregados quatro programas, um dos quais é o WinRAR, uma ferramenta de arquivamento amplamente utilizada. Os outros três eram Putty, que pode ser usado para acesso remoto e exfiltração de dados, SNScan, que pode ser usado para verificar outros alvos potenciais na rede da organização, e PSExec, uma ferramenta legítima da Microsoft.