• 發布單位:TWCERT/CC
• 更新日期:2020-09-30
• 點閱次數:3458

TWCERT/CC接獲國際情資，Palmerworm 駭客組織 (BlackTech)於2019年8月起，陸續利用新型客製化惡意程式，針對台灣建築、金融、電子與媒體業等諸多產業進行間諜攻擊。過去該駭客集團常用的惡意程式為Backdoor.Kivars和Backdoor.Pled，但這次的攻擊採用新型的客製化惡意程式Backdoor.Consock、Backdoor.Waship、Backdoor.Dalwit和Backdoor.Nomri，除了上述的四個後門外，亦會利用正常的軟體工具像是Putty、PSExec、SNScan、WinRAR進行攻擊行動；且會使用竊取的合法code-signing憑證來進行payload簽屬，藉以躲避安全軟體之偵測，請政府、企業單位注意並提供相關IOC資訊供防範。

相關IOC資訊如下：