星期二, 30 11 月, 2021
Home Tags Pkplug

Tag: pkplug

Palo Alto Networks:台灣成為PKPLUG網路間諜軟體攻擊目標之一

Palo Alto Networks威脅情報小組追蹤了三年東南亞的一系列網路間諜攻擊活動,有了重大發現,並將使用公開和自訂惡意軟體組合的網路間諜攻擊團體取名為「PKPLUG」。該名稱源自在壓縮檔中 (ZIP)散播PlugX惡意軟體作為DLL側面加載檔案一部分的行為,因該壓縮檔文件格式的標頭中包含ASCII magic-bytes PK字眼,因此稱為PKPLUG。Palo Alto Networks威脅情報小組目前尚未確定該團體為一個小組或是由多個使用相同工具並有相同目標的團體所組成。   在追蹤這些網路間諜時,Palo Alto Networks發現PKPLUG除了使用PlugX以外,還有大多數自訂惡意軟體,其他酬載(Payload)包括Android應用程式HenBox和Windows後門程式Farseer等。攻擊者也使用了9002木馬病毒,該木馬病毒被認為是由一部分小組之間所共享,其他可公開取得與PKPLUG活動有關的惡意軟體還包括Poison Ivy和Zupdax。   在調查與研究過程中,Palo Alto Networks發現可將這些攻擊和六年前的一些攻擊記錄連結,並將這些發現統稱為PKPLUG,繼續對其進行追蹤。   雖然PKPLUG的最終目標尚未清晰,但推斷在受害系統(包括行動裝置)上安裝後門木馬程式以監看受害者行為並收集資訊是主要目標。   Palo Alto Networks威脅情報小組認為,受害者主要分佈在東南亞地區及周圍地區,特別是緬甸、台灣、越南和印尼,並可能還會出現在亞洲其他地區,例如西藏、新疆和蒙古。根據攻擊目標及某些惡意軟體的內容等判斷,該行為與中國大陸的敵對攻擊活動有關, Palo Alto Networks相信PKPLUG的起源與此相似。   攻擊目標 根據Palo Alto Networks對PKPLUG活動的了解及與產業合作夥伴的經驗分析,研判受害者主要分佈在東南亞及周圍區域。具體而言,目標國家/地區包括緬甸和台灣(可信度較高),以及越南和印尼(可信度較低),亞洲的其他目標地區包括蒙古、西藏和新疆。本文及相關的《攻擊者手冊》(Adversary Playbook)提供了更多詳細資料,包括:惡意軟體散播方法、社會工程主題的誘餌應用程式以及命令與控制(Command & Control;C2)基礎結構主題。   印尼、緬甸和越南是東協成員,為地區的政府間合作做出貢獻。蒙古、外蒙古與中國大陸有著長期而複雜的關係。西藏和新疆是中國大陸的自治區(AR),雖具有自治權但決策最終仍須回應中華人民共和國(PRC)的需求,另外西藏和新疆是中國大陸五個自治區中僅由少數民族佔多數的兩個。   上述七個國家或地區中的大多數(非全部)都以某種方式參與了北京的「一帶一路」倡議(Belt and...