БлацкТецх

БлацкТецх Опис

БлацкТецх је име дато групи хакера за напредну трајну претњу (АПТ). Иста група се такође може срести под именом Палмерворм. Стручњаци Инфосец-а су први пут приметили активности овог конкретног хакерског колектива још 2013. године. Од тада је БлацкТецх спровео неколико претећих кампања напада на мете у источној Азији. Дуг период посматрања омогућио је истраживачима безбедности да створе прилично детаљну слику БлацкТецх образаца напада, преферираних алата за малвер и најчешће коришћених процедура. У својој сржи, БлацкТецх-ове операције су концентрисане на шпијунажу, корпоративно рударење података и ексфилтрацију информација. БлацкТецх је највероватније спонзорисан од стране државе, а тајвански званичници су изјавили да верују да хакере јавно подржава Кина.

БлацкТецх проширује свој домет

Међутим, најновија откривена кампања која се може приписати овој АТП групи показује да хакери можда проширују опсег својих мета и упуштају се у операције изван претходно посматраних региона. Док се већина мета још увек налазила у истом региону источне Азије, са три компаније – медији, електроника и финансије, са Тајвана, инжењерска компанија из Јапана и грађевинска компанија из Кине, БлацкТецх је такође успео да се инфилтрира у компанију у Сједињене Америчке Државе

Према истраживачу, хакери из БлацкТецх-а су провели доста времена вребајући у мрежама неких од својих жртава – мрежа медијске куће била је компромитована годину дана, док су грађевинске и финансијске компаније биле инфилтриране у мреже. неколико месеци. У исто време, хакери су провели само неколико дана унутар мреже јапанске инжењерске компаније и само неколико недеља у компанији за електронику. Неидентификована америчка жртва је била компромитована шест месеци.

БлацкТецх се ослања на прилагођене алате за малвер и програме двоструке употребе

Као део најновије кампање напада, примећено је да се користе четири новонастале бекдор малвер претње под називом Цонсоцк, Васхип, Далвит и Номри. Претходно, БлацкТецх се ослањао на друга два прилагођена бацкдоор-а - Киварс и Плед . Ова серија алата може бити потпуно нове креације или јако модификоване варијанте претходног низа алата.

Да би боље сакрио своје претеће активности и прескочио потребу за потпуно креирањем софистицираног наменског малвера, БлацкТецх је уградио знатну количину алата двоструке намене. У овој конкретној кампањи коришћена су четири програма, од којих је један ВинРАР, широко коришћени алат за архивирање. Остала три су била Путти, који се може користити за даљински приступ и ексфилтрацију података, СНСцан који се може користити за скенирање додатних потенцијалних циљева унутар мреже организације и ПСЕкец, легитимни Мицрософт алат.