BlackTech

BlackTech Açıklama

BlackTech, bir Gelişmiş Kalıcı Tehdit (APT) hacker grubuna verilen addır. Aynı gruba Palmerworm adı altında da rastlamak mümkündür. Infosec uzmanları, bu özel hacker kolektifinin faaliyetlerini ilk olarak 2013'te fark ettiler. O zamandan beri BlackTech, Doğu Asya'da bulunan hedeflere karşı birkaç tehdit edici saldırı kampanyası yürüttü. Uzun gözlem süresi, güvenlik araştırmacılarının BlackTech'in saldırı kalıplarının, tercih edilen kötü amaçlı yazılım araçlarının ve en sık kullanılan prosedürlerin oldukça ayrıntılı bir resmini oluşturmasına izin verdi. BlackTech'in operasyonları özünde casusluk, kurumsal veri madenciliği ve bilgi hırsızlığı üzerine yoğunlaşmıştır. BlackTech büyük olasılıkla devlet desteklidir ve Tayvanlı yetkililer, bilgisayar korsanlarının Çin tarafından halka açık bir şekilde desteklendiğine inandıklarını belirtti.

BlackTech Erişimini Genişletiyor

Ancak, bu ATP grubuna atfedilebilecek en son tespit edilen kampanya, bilgisayar korsanlarının hedef aralıklarını genişletebileceğini ve daha önce gözlemlenen bölgelerin ötesinde operasyonlara girişebileceğini gösteriyor. Hedeflerin çoğu, Tayvan'dan medya, elektronik ve finans, Japonya'dan bir mühendislik şirketi ve Çin'den bir inşaat şirketi olmak üzere üç şirketle hâlâ aynı Doğu Asya bölgesinde yer alırken, BlackTech ayrıca bir şirkete sızmayı başardı. Birleşik Devletler

Araştırmacıya göre, BlackTech bilgisayar korsanları, kurbanlarından bazılarının ağlarında gizlenerek önemli miktarda zaman harcadılar - medya şirketinin ağı bir yıl boyunca tehlikeye girerken, inşaat ve finans şirketleri ağlarına sızdı. Birkaç ay. Aynı zamanda, bilgisayar korsanları bir Japon mühendislik şirketinin ağında sadece birkaç gün ve bir elektronik şirketinde sadece birkaç hafta geçirdiler. Kimliği belirsiz ABD kurbanının sahip olduğu ağ altı ay boyunca tehlikeye girdi.

BlackTech, Özel Kötü Amaçlı Yazılım Araçlarına ve Çift Kullanımlı Programlara Güveniyor

En son saldırı kampanyasının bir parçası olarak Consock, Wasship, Dalwit ve Nomri adlı yeni hazırlanmış dört arka kapı kötü amaçlı yazılım tehdidinin kullanımda olduğu tespit edildi. Daha önce, BlackTech diğer iki özel arka kapıya güvenmişti - Kivars ve Pled. Bu araç grubu, önceki araç dizisinin tamamen yeni kreasyonları veya büyük ölçüde değiştirilmiş varyantları olabilir.

Tehdit edici etkinliklerini daha iyi gizlemek ve amaca yönelik gelişmiş kötü amaçlı yazılım oluşturma ihtiyacını tamamen ortadan kaldırmak için BlackTech, önemli miktarda çift kullanımlı araç içeriyor. Bu özel kampanyada, biri yaygın olarak kullanılan bir arşivleme aracı olan WinRAR olmak üzere dört program kullanıldı. Diğer üçü, uzaktan erişim ve veri hırsızlığı için kullanılabilen Putty, kuruluşun ağındaki ek potansiyel hedefleri taramak için kullanılabilen SNScan ve meşru bir Microsoft aracı olan PSExec idi.