BlackTech

BlackTech 説明

BlackTechは、ハッカーのAdvanced Persistent Threat(APT)グループに付けられた名前です。同じグループは、Palmerwormという名前でも遭遇する可能性があります。 Infosecの専門家は、2013年にこの特定のハッカー集団の活動に最初に気づきました。それ以来、BlackTechは、東アジアにあるターゲットに対していくつかの脅迫的な攻撃キャンペーンを実施してきました。長い観察期間により、セキュリティ研究者は、BlackTechの攻撃パターン、推奨されるマルウェアツール、および最も一般的に使用される手順のかなり詳細な図を作成することができました。 BlackTechの業務は、その中核として、スパイ活動、企業データマイニング、および情報の漏えいに集中しています。 BlackTechはおそらく国が後援しており、台湾の当局者は、ハッカーは中国に公的に支援されていると信じていると述べています。

BlackTechはその範囲を拡大します

ただし、このATPグループに起因する可能性のある最新の検出されたキャンペーンは、ハッカーがターゲットの範囲を拡大し、以前に観察された地域を超えて活動を開始している可能性があることを示しています。ターゲットのほとんどは依然として同じ東アジア地域にあり、台湾のメディア、電子機器、金融の3社、日本のエンジニアリング会社、中国の建設会社がありますが、BlackTechはアメリカ

研究者によると、BlackTechのハッカーは、被害者の一部のネットワークにかなりの時間を費やしてきました。メディア会社のネットワークは1年間侵害されましたが、建設会社と金融会社はネットワークに侵入しました。数ヶ月。同時に、ハッカーは日本のエンジニアリング会社のネットワーク内でわずか数日、エレクトロニクス会社内でわずか数週間しか過ごしませんでした。身元不明の米国の被害者は、6か月間ネットワークが侵害されました。

BlackTechは、カスタムマルウェアツールとデュアルユースプログラムに依存しています

最新の攻撃キャンペーンの一環として、Consock、Waship、Dalwit、およびNomriという名前の4つの新しく作成されたバックドアマルウェアの脅威が使用されていることが判明しました。以前は、BlackTechは他の2つのカスタムバックドア( KivarsPled)に依存していました。このツールのバッチは、まったく新しいものである場合もあれば、以前の一連のツールの大幅に変更されたものである場合もあります。

脅威となる活動をより適切に隠し、高度な専用マルウェアを作成する必要性を完全にスキップするために、BlackTechはかなりの量のデュアルユースツールを組み込んでいます。この特定のキャンペーンでは、4つのプログラムが採用されました。そのうちの1つは、広く使用されているアーカイブツールであるWinRARです。他の3つは、リモートアクセスとデータ抽出に使用できるPutty、組織のネットワーク内の追加の潜在的なターゲットをスキャンするために使用できるSNScan、および正規のMicrosoftツールであるPSExecでした。