BlackTech是一个网络间谍组织，以东亚，特别是台湾，有时甚至还包括日本和香港的目标为主。根据其一些C＆C服务器的互斥和域名，BlackTech的攻击活动可能旨在窃取其攻击目标的技术。

随着他们的活动和不断发展的战术和技巧，趋势科技的研究人员已经把近些年来看似不相关的三个网络攻击活动PLEAD, Shrouded Crossbow和Waterbear联系在了一起。

研究人员分析了这几种攻击过程的方式，并解析了它们的使用工具，最终发现了共同点，也就是说PLEAD, Shrouded Crossbow和Waterbear实际上是由同一个组织操作的。

PLEAD

PLEAD攻击活动执行的是信息盗窃活动，而且倾向于保密文件在PLEAD攻击活动里，自2012年以来，已经针对台湾政府机构和私营机构进行了多次攻击。 PLEAD的工具包包括自命名的PLEAD后门和DRIGO exfiltration工具。 PLEAD使用spear-phishing电子邮件来传递和安装他们的后门，作为附件或通过链接到云端存储服务，用于交付PLEAD的一些云存储帐户也被用作DRIGO偷走的exfiltrated文档的脱机点。

PLEAD的安装程序伪装成使用从右到左替代（RTLO）技术的文件来模糊恶意软件的文件名。他们大多伴随着诱饵文件，以进一步欺骗用户。我们还看到PLEAD使用以下这些漏洞：

CVE-2015-5119，由Adobe于2015年7月修补
CVE-2012-0158，由Microsoft于2012年4月修补
CVE-2014-6352，2014年10月份由微软修补
CVE-2017-0199，由微软于2017年4月修补

当获得了Flash漏洞（CVE-2015-5119）时，PLEAD还会窃取其恶意软件的临时无文件版本,下图显示了PLEAD如何利用受损的路由器。

PLEAD的攻击者使用路由器扫描仪工具扫描易受攻击的路由器，之后攻击者将启用路由器的VPN功能，然后将设备注册为虚拟服务器。该虚拟服务器将被用作将PLEAD恶意软件传递到其目标的C＆C服务器或HTTP服务器。

PLEAD还使用CVE-2017-7269缓冲区溢出漏洞Microsoft Internet Information Services（IIS）6.0来破坏受害者的服务器，这是他们建立新的C＆C或HTTP服务器的另一种方式，下图显示了PLEAD攻击者用于传播其恶意软件的方法之一

PLEAD的后门可以实现以下功能：

1.从浏览器和电子邮件客户端（如Outlook）收集保存的凭据
2.列出驱动器，进程，打开的窗口和文件
3.打开远程Shell
4.上传目标文件
5.通过ShellExecute API执行应用程序
6.删除目标文件

PLEAD还使用了以文档为目标的exfiltration工具DRIGO，它主要在受感染的机器上搜索文档。 DRIGO的每个副本包含了与攻击者使用的特定Gmail帐户相关联的刷新令牌，这些帐户又连接到Google云端硬盘帐户。被盗的文件被上传到这些Google驱动器，攻击者可以在那里看到它们。

Shrouded Crossbow

这个攻击活动在2010年首次被观察到，主要针对于政府有关的私人企业、政府承包商，以及来自消费电子、计算机、医疗保健、金融领域的企业展开攻击，被认为是由一个资金充足的组织经营的，因为它似乎已经购买了BIFROST后门的源代码，运营商增强并创建了其他工具。

Shrouded Crossbow使用三个基于BIFROST的后门，BIFROSE，KIVARS和XBOW。像PLEAD一样，Shrouded Crossbow使用带有后门装载附件的钓鱼邮件，利用RTLO技术并附带诱饵文件。

BIFROSE通过Tor协议与其C＆C服务器进行沟通而逃避检测，还具有针对基于UNIX的操作系统的版本，通常用于服务器，工作站和移动设备。 KIVARS的功能比BIFROSE少，但其模块化结构使其更易于维护。 KIVARS使攻击者能够下载并执行文件，列出驱动器，卸载恶意软件服务，截取屏幕截图，激活或禁用键盘记录器，显示或隐藏活动窗口，以及触发鼠标点击和键盘输入。64位版本的KIVARS也出现了，以跟上64位系统的普及。XBOW的功能来自BIFROSE和KIVARS，Shrouded Crossbow会从其独特的互斥体格式获取其名称。

Waterbear

Waterbear实际上已经运行了很长时间，该攻击活动系列的名称是基于其恶意软件远程配备附加功能的能力，属于广告系列的恶意软件。

Waterbear同样采用了模块化的方式来处理其恶意软件，加载程序组件可执行文件将连接到C＆C服务器以下载主后门并将其加载到内存中。此恶意软件的更新版本出现并使用修补服务器应用程序作为其加载程序组件，而后门从加密文件加载或从C＆C服务器下载。

后来采取的攻击策略是事先了解其目标的运行环境，这种变化很可能是攻击者使用Waterbear作为次要有效载荷，以便在达到目标系统在一定程度的访问后维持其存在。

BlackTech浮出水面

基于使用相同的C＆C服务器，攻击活动的方法，以及工具，技术和目标的相似之处，趋势科技的研究人员得出结论，这三个活动都是由同一组织运营的，而且该组织的运营是资金充足。虽然看上去大多数攻击活动的攻击是单独进行的，但连起来看，这些分阶段的攻击行为就是一个完整的联合行动。

使用相同的C＆C服务器

在这三种攻击活动的情况下，我们发现广告系列的恶意软件会与相同的C＆C服务器进行通信。在有针对性的攻击中，C＆C服务器通常会与其他组共享。以下是我们发现的一些由广告系列共享的C＆C服务器：

此外， IP 211[.]72 [.]242[.]120是域 microsoftmse[.]com的主机之一，已被几种KIVARS变体使用。

协同攻击

我们还发现在同一目标上使用后门的事件，尽管有其他的团体可能会发动类似的攻击，但我们可以解释这几个活动至少是协同工作的，下图就是PLEAD和KIVARS攻击相同目标的事件。

下图是同一目标上使用PLEAD，KIVARS和Waterbear的事件。

工具和技术之间的相似之处

例如，PLEAD和KIVARS分享使用RTLO技术将其安装程序伪装成文档。两者都使用诱饵文件使RTLO攻击更具诱骗性。另一个相似之处是使用小型加载器组件将加密后门放在内存中。

类似的攻击目标

这些攻击活动的目标都是从受害者身上偷取重要的文件，他们攻击的初始目标并不总是他们的主要目标。例如，我们看到几个被攻击者盗窃的诱饵文件，然后用于另一个目标。这表明文件窃取最有可能是针对与预期目标相关的受害者攻击链的第一阶段。虽然PLEAD和KIVARS最有可能用于第一阶段攻击，但Waterbear可以被视为在攻击者获得一定特权后安装的辅助后门。

根据这些攻击活动所窃取的文件类型，我们可以更清楚地了解他们的目标和攻击，他们的传播活动的目的以及发生的时间。以下是被盗文件的一些类别或标签。

对BlackTech组织实施攻击的防御

目前KIVARS，Shrouded Crossbow正在疯狂地进行攻击活动，所以IT 或系统管理员和信息安全专业人员可以考虑制定一个清单，了解网络中出现任何可能表示入侵的异常和可疑行为的迹象。

我们建议采用的最佳做法就是采用多层次的安全机制和针对目标攻击的策略，比如网络流量分析，防火墙、入侵检测以及预防系统的部署，网络分段并对数据分类存储。