追蹤東南亞網路間諜攻擊 Palo Alto發現「PKPLUG」團體

資安軟體廠商Palo Alto Networks旗下的威脅情報小組，追蹤三年東南亞的一系列網路間諜攻擊活動，有了重大發現，並將使用公開和自訂惡意軟體組合的網路間諜攻擊團體取名為「PKPLUG」。

Palo Alto指出，該名稱源自在壓縮檔中 （ZIP）散播PlugX惡意軟體，作為DLL側面加載檔案一部分的行為，因該壓縮檔文件格式的標頭中包含ASCII magic-bytes PK字眼，因此稱為PKPLUG。

PKPLUG是由一個或多個威脅小組組成，在過去六年至少使用了幾種惡意軟體，包括一些知名和較不太知名的，Palo Alto已經追蹤該攻擊者三年多。

據公開資料，Palo Alto自信地認為，PKPLUG源於中國大陸的攻擊者。 PKPLUG出於上述多種可能的原因，針對東南亞地區及周邊地區的各個國家或區域，其中包括東協組織成員中的某些國家、中國大陸中具有自治權的一些地區、某些與中國大陸一帶一路相關的國家和地區、最後還有一些陷入南海所有權問題的國家。

在追蹤這些網路間諜時，Palo Alto發現，PKPLUG除了使用PlugX以外，還有大多數自訂惡意軟體，其他酬載（Payload）包括Android應用程式HenBox和Windows後門程式Farseer等。攻擊者也使用「9002木馬病毒」，該木馬病毒被認為是由一部分小組之間所共享，其他可公開取得與PKPLUG活動有關的惡意軟體還包括Poison Ivy和Zupdax。

在調查與研究過程中，Palo Alto發現可將這些攻擊和六年前的一些攻擊記錄連結，並將這些發現統稱為PKPLUG，繼續對其進行追蹤。雖PKPLUG的最終目標尚未清晰，但推斷在受害系統（包括行動裝置）上安裝後門木馬程式以監看受害者行為並收集資訊是主要目標。

Palo Alto威脅情報小組認為，受害者主要分布在東南亞地區及周圍地區，特別是緬甸、台灣、越南和印尼，並可能還會出現在亞洲其他地區，例如西藏、新疆和蒙古。根據攻擊目標及某些惡意軟體的內容等判斷，該行為與中國大陸的敵對攻擊活動有關， Palo Alto相信PKPLUG的起源與此相似。

Palo Alto表示，若不全面觀察單一或多個威脅團體的每一個攻擊活動，就幾乎不可能了解威脅團體清晰的樣貌。有鑑於此，對一組相關數據，比如網路基礎結構、惡意軟體行為、行為者TTP散播與滲透等，使用一個名稱或綽號有助於更好了解正在調查的內容。透過有條理的分享資訊，並經過有結構的方式編寫的攻擊者手冊，能使其他人貢獻自己所知並豐富上述資料。