BlackTech

BlackTech Beskrivning

BlackTech är namnet på en Advanced Persistent Threat (APT) grupp av hackare. Samma grupp kan också påträffas under namnet Palmerworm. Infosec-experter lade först märke till aktiviteterna hos just detta hackerkollektiv redan 2013. Sedan dess har BlackTech genomfört flera hotfulla attackkampanjer mot mål i östra Asien. Den långa observationsperioden har gjort det möjligt för säkerhetsforskarna att skapa en ganska detaljerad bild av BlackTechs attackmönster, föredragna malware-verktyg och de vanligaste procedurerna. I sin kärna är BlackTechs verksamhet koncentrerad på spionage, företagsdatautvinning och informationsexfiltrering. BlackTech är med största sannolikhet statligt sponsrat, med taiwanesiska tjänstemän som säger att de tror att hackarna stöds av Kina offentligt.

BlackTech utökar sin räckvidd

Den senaste upptäckta kampanjen som kan hänföras till denna ATP-grupp visar dock att hackarna kanske utökar sitt utbud av mål och ger sig in i verksamheten utanför de tidigare observerade regionerna. Medan de flesta av målen fortfarande var belägna i samma region i Östasien, med tre företag - media, elektronik och finans, från Taiwan, ett ingenjörsföretag från Japan och ett byggföretag från Kina, lyckades BlackTech också infiltrera ett företag i USA

Enligt forskaren har hackarna från BlackTech spenderat avsevärd tid på att lura i nätverken hos några av sina offer - mediaföretagets nätverk var äventyrat under ett år, medan bygg- och finansbolagen fick sina nätverk infiltrerade för flera månader. Samtidigt tillbringade hackarna bara ett par dagar inne i ett japanskt ingenjörsföretags nätverk och bara flera veckor inne i ett elektronikföretag. Det oidentifierade amerikanska offret hade är nätverket äventyrat i sex månader.

BlackTech förlitar sig på anpassade verktyg för skadlig programvara och program med dubbla användningsområden

Som en del av den senaste attackkampanjen sågs fyra nytillverkade bakdörrshot av skadlig kod vid namn Consock, Waship, Dalwit och Nomri vara i bruk. Tidigare hade BlackTech förlitat sig på två andra anpassade bakdörrar - Kivars och Pled. Denna sats av verktyg kan vara helt nya skapelser eller kraftigt modifierade varianter av den tidigare uppsättningen verktyg.

För att bättre dölja deras hotfulla aktivitet och hoppa över behovet av att skapa sofistikerad specialbyggd skadlig programvara helt och hållet, har BlackTech införlivat en stor mängd verktyg med dubbla användningsområden. I just denna kampanj användes fyra program, varav ett är WinRAR, ett flitigt använt arkiveringsverktyg. De andra tre var Putty, som kan användas för fjärråtkomst och dataexfiltrering, SNScan som kan användas för att söka efter ytterligare potentiella mål inom organisationens nätverk, och PSExec, ett legitimt Microsoft-verktyg.