BlackTech
BlackTech — це назва групи хакерів Advanced Persistent Threat (APT). Цю ж групу також можна зустріти під назвою Palmerworm. Експерти Infosec вперше помітили діяльність цього конкретного хакерського колективу ще в 2013 році. Відтоді BlackTech провів кілька загрозливих атак на цілі в Східній Азії. Тривалий період спостережень дозволив дослідникам безпеки створити досить детальну картину моделей атак BlackTech, переваги зловмисного програмного забезпечення та найбільш часто використовуваних процедур. По суті, діяльність BlackTech зосереджена на шпигунстві, корпоративному аналізі даних та вилученні інформації. BlackTech, швидше за все, спонсорується державою, при цьому тайванські чиновники заявляють, що вони вважають, що хакерів публічно підтримує Китай.
BlackTech розширює свої можливості
Однак остання виявлена кампанія, яка може бути віднесена до цієї групи ATP, показує, що хакери можуть розширювати діапазон своїх цілей і наважуватися на операції за межами раніше спостережуваних регіонів. Хоча більшість цілей все ще знаходилися в тому ж регіоні Східної Азії з трьома компаніями - медіа, електроніка та фінанси, з Тайваню, інженерна компанія з Японії та будівельна компанія з Китаю, BlackTech також зумів проникнути в компанію в США
За словами дослідника, хакери з BlackTech провели значну кількість часу, затаївшись у мережах деяких зі своїх жертв – мережа медіакомпанії була скомпрометована протягом року, а будівельні та фінансові компанії проникли в мережі. кілька місяців. При цьому хакери провели лише пару днів у мережі японської інжинірингової компанії і всього кілька тижнів у компанії з виробництва електроніки. Невідома жертва в США була скомпрометована протягом шести місяців.
BlackTech покладається на спеціальні засоби шкідливого програмного забезпечення та програми подвійного використання
У рамках останньої кампанії атаки було помічено, що використовуються чотири нещодавно створені загрози зловмисного програмного забезпечення Consock, Waship, Dalwit і Nomri. Раніше BlackTech покладався на два інших користувацьких бекдорів - Kivars і Pled . Ця партія інструментів може бути абсолютно новими творами або сильно зміненими варіантами попереднього набору інструментів.
Щоб краще приховати їхню загрозливу активність і повністю уникнути необхідності створювати складні спеціально створені шкідливі програми, BlackTech включив значну кількість інструментів подвійного використання. У цій конкретній кампанії було використано чотири програми, однією з яких є WinRAR, широко використовуваний інструмент архівування. Іншими трьома були Putty, який можна використовувати для віддаленого доступу та ексфільтрації даних, SNScan, який можна використовувати для пошуку додаткових потенційних цілей у мережі організації, і PSExec, законний інструмент Microsoft.
