BlackTech: um grupo de hackers com uma agenda ocupada

O que está acontecendo?

Palmerworm tem se infiltrado nas redes das vítimas por quase um ano, visando organizações em todo o mundo.

• O grupo tem usado uma combinação do novo pacote de malware personalizado (Consock, Waship, Dalwit e Nomri), bem como alguns malwares já conhecidos (Kivars e Pled).
• Além disso, o grupo também usa ferramentas de uso duplo (Putty, PSExec, SNScan e WinRAR), um carregador personalizado e uma ferramenta de reconhecimento de rede (Hacktool).
• Além de usar táticas de viver fora da terra, eles têm usado certificados de assinatura de código roubados para assinar suas cargas úteis, para fazer com que as cargas pareçam mais legítimas.

Expansão de Palmerworm

• Além de identificar as atividades do Palmerworm em vários países do sul da Ásia, como Japão, Taiwan e China, os pesquisadores também identificaram algumas vítimas nos Estados Unidos pela primeira vez.
• O grupo visa ativamente organizações nos setores de finanças, mídia, engenharia, eletrônica e construção.

Visto pela última vez

Em agosto , Palmerworm atacou pelo menos dez agências governamentais de Taiwan e se infiltrou em cerca de 6.000 contas de e-mail de funcionários do governo para roubar dados confidenciais. Para esses ataques, as autoridades taiwanesas acreditam que o grupo de hackers é apoiado pelo Partido Comunista Chinês.

O resultado final

Palmerworm APT passou vários meses escondido nas redes da empresa. O uso de ferramentas de uso duplo e táticas de viver fora da terra tornam sua atividade muito difícil de detectar. Esses TTPs enfatizam a necessidade de as organizações terem uma defesa cibernética em várias camadas que possa detectar esse tipo de atividade.

Fonte: https://cyware.com/news/blacktech-a-hacking-group-with-a-busy-agenda-c88f7d2a