BlackTech

BlackTech Description

BlackTech là tên được đặt cho một nhóm tin tặc Mối đe dọa liên tục nâng cao (APT). Nhóm tương tự cũng có thể gặp dưới tên Palmerworm. Các chuyên gia của Infosec lần đầu tiên chú ý đến các hoạt động của tập thể hacker đặc biệt này vào năm 2013. Kể từ đó, BlackTech đã thực hiện một số chiến dịch tấn công đe dọa nhằm vào các mục tiêu nằm ở Đông Á. Thời gian quan sát dài đã cho phép các nhà nghiên cứu bảo mật tạo ra một bức tranh khá chi tiết về các kiểu tấn công của BlackTech, các công cụ phần mềm độc hại ưa thích và các quy trình thường được sử dụng nhất. Về cốt lõi, hoạt động của BlackTech tập trung vào hoạt động gián điệp, khai thác dữ liệu doanh nghiệp và lọc thông tin. BlackTech rất có thể được nhà nước bảo trợ, với các quan chức Đài Loan tuyên bố rằng họ tin rằng các tin tặc được Trung Quốc hậu thuẫn một cách công khai.

BlackTech Mở rộng phạm vi tiếp cận

Tuy nhiên, chiến dịch mới nhất được phát hiện có thể là do nhóm ATP này thực hiện cho thấy tin tặc có thể đang mở rộng phạm vi mục tiêu và mạo hiểm tiến hành các hoạt động vượt ra ngoài các khu vực được quan sát trước đó. Trong khi hầu hết các mục tiêu vẫn nằm trong cùng một khu vực Đông Á, với ba công ty - truyền thông, điện tử và tài chính, từ Đài Loan, một công ty kỹ thuật từ Nhật Bản và một công ty xây dựng từ Trung Quốc, BlackTech cũng đã tìm cách thâm nhập vào một công ty ở Mỹ

Theo nhà nghiên cứu, các tin tặc từ BlackTech đã dành một khoảng thời gian đáng kể để ẩn nấp trong mạng của một số nạn nhân của chúng - mạng của công ty truyền thông đã bị xâm nhập trong một năm, trong khi các công ty xây dựng và tài chính bị xâm nhập mạng vì vài tháng. Đồng thời, các tin tặc chỉ dành vài ngày trong mạng của một công ty kỹ thuật Nhật Bản và chỉ vài tuần trong một công ty điện tử. Nạn nhân Hoa Kỳ không xác định danh tính đã bị xâm phạm mạng trong sáu tháng.

BlackTech dựa vào các công cụ phần mềm độc hại tùy chỉnh và các chương trình sử dụng kép

Là một phần của chiến dịch tấn công mới nhất, bốn mối đe dọa phần mềm độc hại backdoor mới được tạo ra có tên Consock, Waship, Dalwit Nomri đã được phát hiện đang được sử dụng. Trước đây, BlackTech đã dựa vào hai backdoor tùy chỉnh khác - KivarsPled . Lô công cụ này có thể là những sáng tạo hoàn toàn mới hoặc các biến thể được sửa đổi nhiều của loạt công cụ trước đó.

Để che giấu tốt hơn hoạt động đe dọa của chúng và bỏ qua hoàn toàn nhu cầu tạo phần mềm độc hại phức tạp có mục đích, BlackTech đã kết hợp một lượng đáng kể các công cụ lưỡng dụng. Trong chiến dịch cụ thể này, bốn chương trình đã được sử dụng, một trong số đó là WinRAR, một công cụ lưu trữ được sử dụng rộng rãi. Ba cái còn lại là Putty, có thể được sử dụng để truy cập từ xa và lọc dữ liệu, SNScan có thể được sử dụng để quét các mục tiêu tiềm năng bổ sung trong mạng của tổ chức và PSExec, một công cụ hợp pháp của Microsoft.