BlackTech

BlackTech คำอธิบาย

BlackTech เป็นชื่อที่กำหนดให้กลุ่มแฮกเกอร์ Advanced Persistent Threat (APT) กลุ่มเดียวกันนี้ยังสามารถพบได้ในชื่อ Palmerworm ผู้เชี่ยวชาญของ Infosec สังเกตเห็นกิจกรรมของกลุ่มแฮ็กเกอร์กลุ่มนี้เป็นครั้งแรกในปี 2556 ตั้งแต่นั้นมา BlackTech ได้ดำเนินการรณรงค์โจมตีหลายครั้งเพื่อโจมตีเป้าหมายที่ตั้งอยู่ในเอเชียตะวันออก ระยะเวลาการสังเกตที่ยาวนานทำให้นักวิจัยด้านความปลอดภัยสร้างภาพที่ค่อนข้างละเอียดของรูปแบบการโจมตีของ BlackTech เครื่องมือมัลแวร์ที่ต้องการ และขั้นตอนที่ใช้บ่อยที่สุด ที่แกนหลัก การดำเนินงานของ BlackTech มุ่งเน้นไปที่การจารกรรม การขุดข้อมูลองค์กร และการกรองข้อมูล BlackTech น่าจะได้รับการสนับสนุนจากรัฐมากที่สุด โดยเจ้าหน้าที่ชาวไต้หวันระบุว่าพวกเขาเชื่อว่าแฮ็กเกอร์ได้รับการสนับสนุนจากจีนอย่างเปิดเผย

BlackTech ขยายการเข้าถึง

อย่างไรก็ตาม แคมเปญล่าสุดที่ตรวจพบซึ่งมาจากกลุ่ม ATP นี้แสดงให้เห็นว่าแฮ็กเกอร์อาจขยายขอบเขตเป้าหมายและเข้าสู่การปฏิบัติการนอกเหนือภูมิภาคที่ตรวจพบก่อนหน้านี้ ในขณะที่เป้าหมายส่วนใหญ่ยังคงอยู่ในภูมิภาคเอเชียตะวันออกเดียวกัน โดยมีสามบริษัท - สื่อ อิเล็กทรอนิกส์ และการเงิน จากไต้หวัน บริษัทวิศวกรรมจากญี่ปุ่น และบริษัทก่อสร้างจากจีน BlackTech ก็สามารถแทรกซึมบริษัทใน สหรัฐอเมริกา

นักวิจัยระบุว่าแฮ็กเกอร์จาก BlackTech ใช้เวลาพอสมควรในการซุ่มซ่อนในเครือข่ายของเหยื่อบางราย - เครือข่ายของบริษัทสื่อถูกบุกรุกเป็นเวลาหนึ่งปี ในขณะที่บริษัทก่อสร้างและบริษัทการเงินถูกแทรกซึมเครือข่าย หลายเดือน. ในเวลาเดียวกัน แฮ็กเกอร์ใช้เวลาเพียงสองสามวันในเครือข่ายของบริษัทวิศวกรรมของญี่ปุ่น และเพียงหลายสัปดาห์ในบริษัทอิเล็กทรอนิกส์ เหยื่อผู้เคราะห์ร้ายจากสหรัฐฯ ที่ไม่ปรากฏชื่อรายนี้มีเครือข่ายที่ถูกบุกรุกเป็นเวลาหกเดือน

BlackTech อาศัยเครื่องมือมัลแวร์แบบกำหนดเองและโปรแกรมแบบใช้คู่

ส่วนหนึ่งของแคมเปญโจมตีล่าสุด มัลแวร์แบ็คดอร์ที่สร้างขึ้นใหม่สี่ตัวชื่อ Consock, Waship, Dalwit และ Nomri ถูกพบว่ามีการใช้งาน ก่อนหน้านี้ BlackTech ได้อาศัยอยู่บนสองแบ็กำหนดเองอื่น ๆ - Kivars และ ทำความ ชุดเครื่องมือนี้อาจเป็นเครื่องมือสร้างใหม่ทั้งหมดหรือชุดเครื่องมือรุ่นก่อนที่มีการปรับเปลี่ยนอย่างมาก

เพื่อซ่อนกิจกรรมที่คุกคามของพวกเขาได้ดีขึ้นและข้ามความจำเป็นในการสร้างมัลแวร์ที่สร้างขึ้นตามวัตถุประสงค์ที่ซับซ้อนทั้งหมด BlackTech ได้รวมเครื่องมือแบบใช้คู่จำนวนมาก ในแคมเปญนี้โดยเฉพาะ มีการใช้งานสี่โปรแกรม หนึ่งในนั้นคือ WinRAR ซึ่งเป็นเครื่องมือเก็บถาวรที่ใช้กันอย่างแพร่หลาย อีกสามคนคือ Putty ซึ่งสามารถใช้สำหรับการเข้าถึงระยะไกลและการขโมยข้อมูล SNScan ที่สามารถใช้เพื่อสแกนหาเป้าหมายที่เป็นไปได้เพิ่มเติมภายในเครือข่ายขององค์กร และ PSExec ซึ่งเป็นเครื่องมือของ Microsoft ที่ถูกต้องตามกฎหมาย