東亞黑客組織BlackTech針對金融、教育等行業展開攻擊
概述
BlackTech 是一個主要針對東亞地區的商業間諜組織,其活動可追溯至2010年,其攻擊的目標行業包含金融、政府、科技、教育、體育和文化等,其目的是竊取機密數據(各種賬密、機密文件等)和獲取經濟利益。該組織主要使用魚叉式網絡釣魚郵件進行攻擊,慣用 Plead、TSCookie、Gh0st、Bifrose 等木馬。
近期,微步情報局通過微步在線威脅情報云監測到 BlackTech 在多次攻擊活動中使用的后門木馬,包含 Windows 版本和 Linux 版本,多數殺毒引擎較難查殺,經過分析有如下發現:
- BlackTech 在近期的攻擊活動中使用了多數殺毒引擎較難查殺的后門木馬,這表明該組織的武器庫在持續豐富和變化。
- BlackTech 在近期的攻擊活動中涉及的目標為金融、教育等行業。
- 在針對 Windows 平臺的攻擊中,BlackTech 使用的后門木馬是由 Gh0st 源碼修改而來,具備RAT能力。
- 在針對 Linux 平臺的攻擊中,BlackTech 使用的后門木馬有兩種類型,一種是 Bifrose 后門木馬;另一種是用 Python 編寫打包成的木馬具備上傳文件、下載文件、執行命令等功能。
微步在線通過對相關樣本、IP 和域名的溯源分析,提取多條相關 IOC ,可用于威脅情報檢測。微步在線威脅感知平臺 TDP 、本地威脅情報管理平臺 TIP 、威脅情報云 API 、互聯網安全接入服務 OneDNS 、主機威脅檢測與響應平臺 OneEDR 、威脅捕捉與誘騙系統 HFish 蜜罐等均已支持對此次攻擊事件和團伙的檢測。
詳情
微步情報局監測到東亞黑客組織 BlackTech 近期攻擊活動頻繁,攻擊目標包括中國地區的互聯網金融、互聯網教育等行業。根據近期捕獲的 BlackTech 組織使用的后門木馬,微步情報局發現該組織的武器庫在持續豐富和變化,在 Windows 平臺上使用由 Gh0st 源碼修改而來的后門木馬,在 Linux 平臺上使用 Bifrose 后門木馬,多數殺毒引擎較難查殺。另外在 Linux 平臺還使用 Python 編寫打包的后門木馬。而在 IT 資產方面,BlackTech 組織依舊保留了之前的特點,即經常租用中國、日本等地的服務器作為 C&C 服務器,在近期攻擊活動中也復用了部分在過往攻擊活動中使用的資產。
2.1 為什么歸因到東亞黑客組織 BlackTech?
微步情報局近期捕獲兩個低殺毒引擎檢出的 Bifrose 后門木馬。經過分析,這兩個后門木馬在代碼特征上基本一致,然后提取代碼特征進行威脅狩獵尋找歷史樣本,發現歷史樣本及IT資產屬于 BlackTech 組織。另外,這兩個后門木馬所使用的IT資產位于中國、日本,與 BlackTech 組織的特點相符。結合受害者信息綜合分析,微步情報局對于將這兩個 Bifrose 后門木馬歸因于 BlackTech 組織有較高的信心。
2.2 關聯分析,未知 Python 木馬與 BlackTech 的關系
對 BlackTech 組織近期使用的IT資產進行排查,其中通過 C&C cache8754.myssldomains.com 關聯到一個用 Python 編寫打包的木馬8764c735d2dbc4ab83b43eaa63e78c78(MD5)。經過分析,此后門木馬是BlackTech 組織的新武器。
對 C&C cache8754.myssldomains.com 進行IT資產維度分析:
cache8754.myssldomains.com 曾被解析為以下 IP 地址:
2020-10-28 154.204.60.xx 2020-08-12 104.238.160.xx 2020-07-01 154.209.234.xx 2020-06-23 193.187.118.xx |
其中193.187.118.xx可以關聯到 rt37856cache.work***news.com,而www.work***news.com 是 Python 編寫打包的木馬8764c735d2dbc4ab83b43eaa63e78c78(MD5)的 C&C(樣本分析請見后文)。而這兩個域名在字符特征上也十分相似,均使用 cache 關鍵詞。
2.3 關聯分析,未知Windows木馬與BlackTech的關系
IP 103.40.112.228是 BlackTech 組織使用過的 IT 資產,近期微步情報局捕獲到使用該 IP 作為 C&C 的 Windows 版本木馬9061ff3f23735feddcc51d66f1647f9d(MD5),此木馬是由 Gh0st 源碼修改而來,而 BlackTech 組織也使用過由 Gh0st 源碼修改過的后門木馬。綜合分析,微步情報局推測此 Windows 木馬也是 BlackTech 組織使用的木馬。
微步情報局將對近期 BlackTech 組織使用的后門木馬進行詳細分析,包括 Windows 木馬、Bifrose 木馬以及 Python 木馬。
