BlackTech 组织针对国内重点单位攻击的紧急预警
发布时间:2021-12-10
点击数:
一、安全预警
近期,发现有境外组织 BlackTech 多次攻击活动。BlackTe ch 是一个商业间谍组织,其攻击的目标行业包含金融、政府、 科技、教育、体育和文化等,其目的是窃取机密数据(各种账密、 机密文件等)和获取经济利益。 请各重点单位高度重视,加强网络安全防护,切实保障网络 系统安全稳定运行。
二、事件信息
(一)事件概要
黑客组织 BlackTech 近期攻击活动频繁,根据近期捕获的 BlackTech 组织使用的后门木马,发现该组织的武器库在持续丰 富和变化,在 Windows 平台上使用由 Gh0st 源码修改而来的 后门木马,在 Linux 平台上使用 Bifrose 后门木马,多数杀毒 引擎较难查杀。另外在 Linux 平台还使用 Python 编写打包的 后门木马。而在 IT 资产方面,BlackTech 组织依旧保留了之前 的特点,即经常租用中国、日本等地的服务器作为 C&C 服务器, 在近期攻击活动中也复用了部分在过往攻击活动中使用的资产。
(二)危害级别
【高危】
三、事件总结
经过分析, BlackTech 组织是一个经验丰富、成熟度较高、 威胁度较高的黑客组织。在近期的攻击活动中该组织使用了多数 杀毒引擎较难查杀的后门木马,这表明该组织的武器库在持续丰 富和变化。由于该组织近期的攻击目标均为金融、政府、科技、 教育、体育和文化等企业,建议相关行业的企业提高安全意识、 注意防护。
四、应急处置建议
一旦发现系统中存在漏洞被利用的情况,请您第一时间通知我司,同时开展以下紧急处置:
一是立即断开被入侵的主机系统的网络连接,防止进一步危 害
二是留存相关日志信息;
三是通过“解决方案”加固系统并通过检查确认无相关漏洞 后再恢复网络连接