BlackTech

BlackTech Description

Ang BlackTech ay ang pangalang ibinigay sa isang Advanced Persistent Threat (APT) na pangkat ng mga hacker. Ang parehong grupo ay maaari ding makatagpo sa ilalim ng pangalang Palmerworm. Unang napansin ng mga eksperto sa Infosec ang mga aktibidad ng partikular na kolektibong hacker na ito noong 2013. Simula noon, nagsagawa ang BlackTech ng ilang nagbabantang kampanya sa pag-atake laban sa mga target na matatagpuan sa East Asia. Ang mahabang panahon ng pagmamasid ay nagbigay-daan sa mga mananaliksik ng seguridad na lumikha ng medyo detalyadong larawan ng mga pattern ng pag-atake ng BlackTech, mga ginustong tool sa malware, at pinakakaraniwang ginagamit na mga pamamaraan. Sa kaibuturan nito, ang mga operasyon ng BlackTech ay nakatuon sa espionage, pagmimina ng data ng kumpanya at pag-exfiltrate ng impormasyon. Ang BlackTech ay malamang na itinataguyod ng estado, kung saan ang mga opisyal ng Taiwan ay nagsasabi na naniniwala sila na ang mga hacker ay suportado ng China sa publiko.

Palawakin ng BlackTech ang Abot Nito

Gayunpaman, ang pinakabagong natukoy na campaign na maaaring maiugnay sa ATP group na ito ay nagpapakita na ang mga hacker ay maaaring palawakin ang kanilang hanay ng mga target at nakikipagsapalaran sa mga operasyon na lampas sa mga naunang naobserbahang rehiyon. Habang ang karamihan sa mga target ay matatagpuan pa rin sa parehong rehiyon ng Silangang Asya, na may tatlong kumpanya - media, electronics, at pananalapi, mula sa Taiwan, isang kumpanya ng engineering mula sa Japan, at isang kumpanya ng konstruksiyon mula sa China, ang BlackTech ay nagawa ring makalusot sa isang kumpanya sa ang Estados Unidos

Ayon sa mananaliksik, ang mga hacker mula sa BlackTech ay gumugol ng maraming oras sa pagkukubli sa mga network ng ilan sa kanilang mga biktima - ang network ng kumpanya ng media ay nakompromiso sa loob ng isang taon, habang ang konstruksiyon at mga kumpanya ng pananalapi ay nakapasok sa kanilang mga network para sa ilang buwan. Kasabay nito, ang mga hacker ay gumugol lamang ng ilang araw sa loob ng network ng isang Japanese engineering company at ilang linggo lamang sa loob ng isang electronics company. Ang hindi kilalang biktima ng US ay nakompromiso sa network sa loob ng anim na buwan.

Umaasa ang BlackTech sa Mga Custom na Malware Tool at Dual-Use Program

Bilang bahagi ng pinakabagong kampanya sa pag-atake , nakitang ginagamit ang apat na bagong gawang backdoor na banta ng malware na pinangalanang Consock, Waship, Dalwit, at Nomri . Dati, umasa ang BlackTech sa dalawa pang custom na backdoors - Kivars at Pled . Ang batch ng mga tool na ito ay maaaring ganap na mga bagong likha o mabigat na binagong mga variant ng nakaraang hanay ng mga tool.

Upang mas mahusay na itago ang kanilang nagbabantang aktibidad at laktawan ang pangangailangan na lumikha ng ganap na sopistikadong malware na binuo ng layunin, ang BlackTech ay nagsama ng malaking halaga ng mga tool na dalawahan ang paggamit. Sa partikular na kampanyang ito, apat na programa ang ginamit, isa na rito ang WinRAR, isang malawakang ginagamit na tool sa pag-archive. Ang tatlo pa ay si Putty, na maaaring gamitin para sa malayuang pag-access at data exfiltration, SNScan na maaaring magamit upang mag-scan para sa karagdagang mga potensyal na target sa loob ng network ng organisasyon, at PSExec, isang lehitimong tool ng Microsoft.