BlackTech

BlackTech說明

BlackTech 是高級持續威脅 (APT) 黑客組織的名稱。同一個組也可以在名為 Palmerworm 的情況下遇到。 Infosec 專家早在 2013 年就首次注意到這個特定黑客組織的活動。從那時起,BlackTech 對位於東亞的目標進行了多次威脅性攻擊活動。漫長的觀察期使安全研究人員能夠對 BlackTech 的攻擊模式、首選惡意軟件工具和最常用的程序進行相當詳細的描述。 BlackTech 的核心業務集中在間諜活動、企業數據挖掘和信息洩露上。 BlackTech 很可能是由國家贊助的,台灣官員表示他們認為黑客得到了中國的公開支持。

BlackTech 擴大業務範圍

然而,最新檢測到的可歸因於該 ATP 組織的活動表明,黑客可能正在擴大其目標範圍,並冒險涉足先前觀察到的區域之外的活動。雖然大部分目標仍位於同一個東亞地區,媒體、電子和金融三家公司來自台灣,一家來自日本的工程公司和一家來自中國的建築公司,但黑科技還設法滲透到一家公司美國

據研究人員稱,BlackTech 的黑客已經花了相當長的時間潛伏在一些受害者的網絡中——媒體公司的網絡被入侵了一年,而建築公司和金融公司的網絡被滲透了數月。與此同時,黑客只在一家日本工程公司的網絡內呆了幾天,而在一家電子公司內只呆了幾週。身份不明的美國受害者的網絡被入侵了六個月。

BlackTech 依賴自定義惡意軟件工具和兩用程序

作為最新攻擊活動的一部分,發現使用了四個新製作的後門惡意軟件威脅,名為Consock、Waship、DalwitNomri 。此前,BlackTech 依賴於另外兩個自定義後門 - KivarsPled 。這批工具可能是先前工具陣列的全新創作或經過大量修改的變體。

為了更好地隱藏他們的威脅活動並完全跳過創建複雜的專用惡意軟件的需要,BlackTech 整合了大量的兩用工具。在這個特定的活動中,使用了四個程序,其中一個是廣泛使用的存檔工具 WinRAR。其他三個分別為膩子可用於遠程訪問和數據洩露,SNScan可用於掃描組織的網絡內的其他潛在目標,並PSEXEC,合法的微軟工具。