網(wǎng)絡安全公司Trend Micro威脅解決方案小組近日發(fā)布報告稱,資金雄厚的網(wǎng)絡間諜組織BlackTech一直在尋求亞洲目標,旨在竊取企業(yè)技術和商業(yè)機密。Trend Micro的安全專家認為,BlackTech與三個不同的網(wǎng)絡間諜活動(PLEAD、Shrowded Crossbow和Waterbear)有關。
據(jù)報道,這個網(wǎng)絡間諜組織善于利用老舊軟件中的安全漏洞(尤其老舊的Windows操作系統(tǒng)),并利用意大利黑客公司被泄的Hacking Team工具開展攻擊活動。
BlackTech使用新的黑客技術針對各種組織機構展開攻擊,例如獨特的后門植入程序和滲透技術。Trend Micro的研究人員表示,在這3起網(wǎng)絡間諜活動中,黑客使用的C&C服務器(命令與控制服務器)相同,使用工具和技術類似,這就表明這幾起活動出自同一組織之手。
Trend Micro副總裁馬克·朗尼科文表示,考慮到攻擊者針對的目標相同,且使用的后端基礎設施,他們認為這3起活動與BlackTech有關。這個后端基礎設施(發(fā)送被竊數(shù)據(jù))是這些活動特有的,不相關網(wǎng)絡犯罪組織在有針對性的攻擊中共享基礎設施相當罕見。
主要攻擊目標該組織涉嫌攻擊的組織機構主要分布在中國香港和中國臺灣省,日本。研究人員發(fā)現(xiàn)的數(shù)字取證證據(jù)表明,BlackTech針對各種公司和組織機構,包括私有機構和政府承包商,以及消費電子、計算機、保健和金融行業(yè)的企業(yè),特別是中國香港和中國臺灣省,以及日本的企業(yè)。
Trend Micro的研究人員表示,一個黑客組織,尤其資金雄厚的黑客組織,分成幾個小組執(zhí)行不同的活動并不少見。雖然大多數(shù)攻擊活動單獨進行,但研究人員發(fā)現(xiàn)不同的小組針對相同的目標執(zhí)行聯(lián)合行動。
研究人員指出,BlackTech別有用心的動機是竊取受害者的重要文件。該黑客組織還針對另外一些看似相關的目標,竊取“誘餌文件”,之后用來攻擊其它目標。這就表明,竊取文件可能是預期攻擊鏈的第一個階段。
BlackTech使用被泄的Hacking Team工具BlackTech使用的漏洞包括Adobe Flash漏洞(CVE-2015-5119)。據(jù)報道,該漏洞利用工具是Hacking Team遭遇入侵之后被泄的工具。
研究人員認為,BlackTech與APT12似乎存在相似之處。但是,Trend Micro稱,并沒有確鑿的證據(jù)證明APT12和BlackTech之間有關聯(lián)。
朗尼科文表示,他們觀察到該組織仍在繼續(xù)投資保持惡意軟件的相關性,這就表明,該組織取得一定的成功。