БлэкТек
BlackTech — это название, данное группе хакеров Advanced Persistent Threat (APT). Эту же группу можно встретить и под названием Palmerworm. Эксперты Infosec впервые заметили деятельность этого конкретного хакерского коллектива еще в 2013 году. С тех пор BlackTech провела несколько угрожающих атак на цели, расположенные в Восточной Азии. Длительный период наблюдения позволил исследователям в области безопасности создать довольно подробную картину шаблонов атак BlackTech, предпочитаемых вредоносных инструментов и наиболее часто используемых процедур. По своей сути операции BlackTech сосредоточены на шпионаже, добыче корпоративных данных и краже информации. BlackTech, скорее всего, спонсируется государством, а тайваньские официальные лица заявляют, что, по их мнению, Китай публично поддерживает хакеров.
BlackTech расширяет свое присутствие
Однако последняя обнаруженная кампания, которую можно отнести к этой группе ATP, показывает, что хакеры могут расширять круг своих целей и выходить за пределы ранее наблюдаемых регионов. В то время как большинство целей по-прежнему находились в том же регионе Восточной Азии, с тремя компаниями — СМИ, электроникой и финансами из Тайваня, инженерной компанией из Японии и строительной компанией из Китая, BlackTech также удалось проникнуть в компанию в Соединенные штаты
По словам исследователя, хакеры из BlackTech провели значительное время, скрываясь в сетях некоторых из своих жертв — сеть медиакомпании была скомпрометирована в течение года, а сети строительных и финансовых компаний были проникнуты в течение года. несколько месяцев. При этом хакеры провели всего пару дней в сети японской инжиниринговой компании и всего несколько недель в электронной компании. Сеть неопознанной жертвы из США была скомпрометирована в течение шести месяцев.
BlackTech полагается на специальные вредоносные инструменты и программы двойного назначения
В рамках последней кампании атак были обнаружены четыре недавно созданных вредоносных бэкдора, названных Consock, Waship, Dalwit и Nomri. Ранее BlackTech полагалась на два других нестандартных бэкдора — Kivars и Pled . Этот пакет инструментов может быть совершенно новым творением или сильно модифицированными вариантами предыдущего набора инструментов.
Чтобы лучше скрыть свою опасную активность и полностью избавиться от необходимости создавать сложные специализированные вредоносные программы, BlackTech внедрила значительное количество инструментов двойного назначения. В этой конкретной кампании использовались четыре программы, одной из которых является WinRAR, широко используемый инструмент архивирования. Тремя другими были Putty, которую можно использовать для удаленного доступа и кражи данных, SNScan, которую можно использовать для поиска дополнительных потенциальных целей в сети организации, и PSExec, законный инструмент Microsoft.
