Palo Alto Networks威脅情報小組追蹤了三年東南亞的一系列網路間諜攻擊活動,有了重大發現,並將使用公開和自訂惡意軟體組合的網路間諜攻擊團體取名為「PKPLUG」。該名稱源自在壓縮檔中 (ZIP)散播PlugX惡意軟體作為DLL側面加載檔案一部分的行為,因該壓縮檔文件格式的標頭中包含ASCII magic-bytes PK字眼,因此稱為PKPLUG。Palo Alto Networks威脅情報小組目前尚未確定該團體為一個小組或是由多個使用相同工具並有相同目標的團體所組成。 在追蹤這些網路間諜時,Palo Alto Networks發現PKPLUG除了使用PlugX以外,還有大多數自訂惡意軟體,其他酬載(Payload)包括Android應用程式HenBox和Windows後門程式Farseer等。攻擊者也使用了9002木馬病毒,該木馬病毒被認為是由一部分小組之間所共享,其他可公開取得與PKPLUG活動有關的惡意軟體還包括Poison Ivy和Zupdax。在調查與研究過程中,Palo Alto Networks發現可將這些攻擊和六年前的一些攻擊記錄連結,並將這些發現統稱為PKPLUG,繼續對其進行追蹤。 雖然PKPLUG的最終目標尚未清晰,但推斷在受害系統(包括行動裝置)上安裝後門木馬程式以監看受害者行為並收集資訊是主要目標。 Palo Alto Networks威脅情報小組認為,受害者主要分佈在東南亞地區及周圍地區,特別是緬甸、台灣、越南和印尼,並可能還會出現在亞洲其他地區,例如西藏、新疆和蒙古。根據攻擊目標及某些惡意軟體的內容等判斷,該行為與中國大陸的敵對攻擊活動有關, Palo Alto Networks相信PKPLUG的起源與此相似。
攻擊目標 根據Palo Alto Networks對PKPLUG活動的了解及與產業合作夥伴的經驗分析,研判受害者主要分佈在東南亞及周圍區域。具體而言,目標國家/地區包括緬甸和台灣(可信度較高),以及越南和印尼(可信度較低),亞洲的其他目標地區包括蒙古、西藏和新疆。本文及相關的《攻擊者手冊》(Adversary Playbook)提供了更多詳細資料,包括:惡意軟體散播方法、社會工程主題的誘餌應用程式以及命令與控制(Command & Control;C2)基礎結構主題。 印尼、緬甸和越南是東協成員,為地區的政府間合作做出貢獻。蒙古、外蒙古與中國大陸有著長期而複雜的關係。西藏和新疆是中國大陸的自治區(AR),雖具有自治權但決策最終仍須回應中華人民共和國(PRC)的需求,另外西藏和新疆是中國大陸五個自治區中僅由少數民族佔多數的兩個。 上述七個國家或地區中的大多數(非全部)都以某種方式參與了北京的「一帶一路」倡議(Belt and Road Initiative;BRI),該倡議旨在將東南亞至東歐、非洲的71個國家連接。穿越新疆的道路對於一帶一路的成功尤為重要,但人們時常耳聞中國大陸當局與維吾爾族之間的衝突。 新聞中充斥著一帶一路成功與失敗的評論,常見支持、反對一帶一路甚至退出該計畫的國家。 該地區的緊張局勢進一步可歸因於周邊國家對南海的所有權主張,包括漁撈配額和尚未被證明的油氣存量。至少文中提到的三個攻擊目標(馬來西亞,台灣和越南)對這些水域的部分區域主張擁有所有權,其中一些國家將該區域大部分用於貿易。外國軍隊也在此進行巡航,試圖使該水域保持開放。 台灣並非一個自治區,似乎也沒有積極參與一帶一路,但它和中國大陸有著很深的淵源,最近台灣與美國進行的22億美元軍售可能產生劇烈影響。 結論 如果不全面觀察單一或多個威脅團體的每一個攻擊活動,就幾乎不可能了解威脅團體清晰的樣貌。有鑑於此,對一組相關數據(例如網路基礎結構、惡意軟體行為、行為者TTP散播與滲透)使用一個名稱或綽號有助於我們更好了解正在調查的內容。透過有條理的分享這些資訊(如本文的PKPLUG),並經過有結構的方式編寫的攻擊者手冊,能使其他人貢獻自己所知並豐富上述資料,直到對威脅團體的了解變得清晰為止。
根據我們的了解、從其他出版物中獲得的信息、及通過商業夥伴分享,我們得知PKPLUG是由一個或多個威脅小組組成,在過去六年中它們至少使用了幾種惡意軟體,包括一些知名(Poison Ivy、PlugX、Zupdax),和較不太知名(9002木馬程式、HenBox、Farseer)。Palo Alto Networks已經追蹤該攻擊者三年多,根據公開資料我們自信地認為它源於中國大陸的攻擊者。 PKPLUG出於上述多種可能的原因,針對東南亞地區及周邊地區的各個國家或區域,其中包括東協組織成員中的某些國家、中國大陸中具有自治權的一些地區、某些與中國大陸一帶一路相關的國家和地區、最後還有一些陷入南海所有權問題的國家。 - 新聞稿有效日期,至2019/11/07為止
聯絡人 :李蔚琳 聯絡電話:7713-6610 電子郵件:crystal.lee@shangs.com.tw
上一篇:AMD與微軟發表全新15吋 Surface Laptop 3
下一篇:全球第一!華碩攜手AMD再創SPEC伺服器標準評測世界紀錄
|