BlackTech

BlackTech说明

BlackTech 是高级持续威胁 (APT) 黑客组织的名称。同一个组也可以在名为 Palmerworm 的情况下遇到。 Infosec 专家早在 2013 年就首次注意到这个特定黑客组织的活动。从那时起,BlackTech 对位于东亚的目标进行了多次威胁性攻击活动。漫长的观察期使安全研究人员能够对 BlackTech 的攻击模式、首选恶意软件工具和最常用的程序进行相当详细的描述。 BlackTech 的核心业务集中在间谍活动、企业数据挖掘和信息泄露上。 BlackTech 很可能是由国家赞助的,台湾官员表示他们认为黑客得到了中国的公开支持。

BlackTech 扩大业务范围

然而,最新检测到的可归因于该 ATP 组织的活动表明,黑客可能正在扩大其目标范围,并冒险涉足先前观察到的区域之外的活动。虽然大部分目标仍位于同一个东亚地区,媒体、电子和金融三家公司来自台湾,一家来自日本的工程公司和一家来自中国的建筑公司,但黑科技还设法渗透到一家公司美国

据研究人员称,BlackTech 的黑客已经花了相当长的时间潜伏在一些受害者的网络中——媒体公司的网络被入侵了一年,而建筑公司和金融公司的网络被渗透了数月。与此同时,黑客只在一家日本工程公司的网络内呆了几天,而在一家电子公司内只呆了几周。身份不明的美国受害者的网络被入侵了六个月。

BlackTech 依赖自定义恶意软件工具和两用程序

作为最新攻击活动的一部分,发现使用了四个新制作的后门恶意软件威胁,名为Consock、Waship、DalwitNomri 。此前,BlackTech 依赖于另外两个自定义后门 - KivarsPled 。这批工具可能是先前工具阵列的全新创作或经过大量修改的变体。

为了更好地隐藏他们的威胁活动并完全跳过创建复杂的专用恶意软件的需要,BlackTech 整合了大量的两用工具。在这个特定的活动中,使用了四个程序,其中一个是广泛使用的存档工具 WinRAR。其他三个分别为腻子可用于远程访问和数据泄露,SNScan可用于扫描组织的网络内的其他潜在目标,并PSEXEC,合法的微软工具。