Symantec Threat Hunter Team ออกรายงานความเคลื่อนไหวของกลุ่มแฮกเกอร์จีนภายใต้ชื่อ Palmerworm หรือ BlackTech หลังจากมีการตรวจพบความเคลื่อนไหวล่าสุดในช่วงที่ผ่านมา โดยกลุ่ม Palmerworm พุ่งเป้าโจมตีหลายส่วนธุรกิจโดยมีเป้าหมายเพื่อขโมยข้อมูลความลับทางการค้า เหยื่อส่วนใหญ่นั้นกระจายอยู่ในสหรัฐฯ, ไต้หวัน, จีนและญี่ปุ่น

เอกลักษณ์ของกลุ่ม Palmerworm มีไม่แตกต่างจากกลุ่มอื่น กลุ่มแฮกเกอร์มีการใช้ทั้งมัลแวร์ซึ่งพัฒนาขึ้นเองจำนวน 4-6 รายการ ในการเป็นช่องทางลับสำหรับเข้าถึงระบบที่ยึดครองได้แล้ว โดยกลุ่มแฮกเกอร์ยังคงมีการใช้เทคนิค Living Off The Land Binaries and Scripts หรือใช้โปรแกรมในกลุ่ม Dual use ในการช่วยในการโจมตี เช่น ใช้ Putty ในการลักลอบส่งข้อมูลออก, ใช้ PsExec ในการทำ Lateral movement, ใช้โปรแกรม SNScan ในการเก็บข้อมูลเครือข่ายภายในและใช้ WinRAR ในการจัดการไฟล์ก่อนถ่ายโอนออก

Symantec Threat Hunter Team ได้เผยแพร่ IOC ที่พบจากการโจมตีแล้ว ผู้ที่สนใจสามารถนำ IOC มาเสริมความปลอดภัยได้ทันที รวมไปถึงเพิ่มรูปแบบการเฝ้าระวังการใช้โปรแกรมในกลุ่ม Dual use เพื่อตรวจสอบหากมีการนำไปใช้ในลักษณะที่ไม่พึงประสงค์

ที่มา: symantec-enterprise-blogs.