BlackTech 組織針對國內重點單位攻擊的緊急預警

發布時間：2021-12-10 點擊數：

一、安全預警

近期，發現有境外組織 BlackTech 多次攻擊活動。BlackTe ch 是一個商業間諜組織，其攻擊的目標行業包含金融、政府、科技、教育、體育和文化等，其目的是竊取機密數據（各種賬密、機密文件等）和獲取經濟利益。請各重點單位高度重視，加強網絡安全防護，切實保障網絡系統安全穩定運行。

二、事件信息

（一）事件概要

黑客組織 BlackTech 近期攻擊活動頻繁，根據近期捕獲的 BlackTech 組織使用的后門木馬，發現該組織的武器庫在持續豐富和變化，在 Windows 平臺上使用由 Gh0st 源碼修改而來的后門木馬，在 Linux 平臺上使用 Bifrose 后門木馬，多數殺毒引擎較難查殺。另外在 Linux 平臺還使用 Python 編寫打包的后門木馬。而在 IT 資產方面，BlackTech 組織依舊保留了之前的特點，即經常租用中國、日本等地的服務器作為 C&C 服務器，在近期攻擊活動中也復用了部分在過往攻擊活動中使用的資產。

（二）危害級別

【高危】

三、事件總結

經過分析， BlackTech 組織是一個經驗豐富、成熟度較高、威脅度較高的黑客組織。在近期的攻擊活動中該組織使用了多數殺毒引擎較難查殺的后門木馬，這表明該組織的武器庫在持續豐富和變化。由于該組織近期的攻擊目標均為金融、政府、科技、教育、體育和文化等企業，建議相關行業的企業提高安全意識、注意防護。

四、應急處置建議

一旦發現系統中存在漏洞被利用的情況，請您第一時間通知我司，同時開展以下緊急處置：

一是立即斷開被入侵的主機系統的網絡連接，防止進一步危害

二是留存相關日志信息；

三是通過“解決方案”加固系統并通過檢查確認無相關漏洞后再恢復網絡連接

加入收藏

上一篇：Apache HTTP Server 高危漏洞的緊急預警

下一篇：Apache Log4j 遠程代碼執行漏洞的緊急預警