資安軟體廠商Palo Alto Networks旗下的威脅情報小組,追蹤三年東南亞的一系列網路間諜攻擊活動,有了重大發現,並將使用公開和自訂惡意軟體組合的網路間諜攻擊團體取名為「PKPLUG」。
Palo Alto指出,該名稱源自在壓縮檔中 (ZIP)散播PlugX惡意軟體,作為DLL側面加載檔案一部分的行為,因該壓縮檔文件格式的標頭中包含ASCII magic-bytes PK字眼,因此稱為PKPLUG。
PKPLUG是由一個或多個威脅小組組成,在過去六年至少使用了幾種惡意軟體,包括一些知名和較不太知名的,Palo Alto已經追蹤該攻擊者三年多。
據公開資料,Palo Alto自信地認為,PKPLUG源於中國大陸的攻擊者。 PKPLUG出於上述多種可能的原因,針對東南亞地區及周邊地區的各個國家或區域,其中包括東協組織成員中的某些國家、中國大陸中具有自治權的一些地區、某些與中國大陸一帶一路相關的國家和地區、最後還有一些陷入南海所有權問題的國家。
在追蹤這些網路間諜時,Palo Alto發現,PKPLUG除了使用PlugX以外,還有大多數自訂惡意軟體,其他酬載(Payload)包括Android應用程式HenBox和Windows後門程式Farseer等。攻擊者也使用「9002木馬病毒」,該木馬病毒被認為是由一部分小組之間所共享,其他可公開取得與PKPLUG活動有關的惡意軟體還包括Poison Ivy和Zupdax。
在調查與研究過程中,Palo Alto發現可將這些攻擊和六年前的一些攻擊記錄連結,並將這些發現統稱為PKPLUG,繼續對其進行追蹤。雖PKPLUG的最終目標尚未清晰,但推斷在受害系統(包括行動裝置)上安裝後門木馬程式以監看受害者行為並收集資訊是主要目標。
Palo Alto威脅情報小組認為,受害者主要分布在東南亞地區及周圍地區,特別是緬甸、台灣、越南和印尼,並可能還會出現在亞洲其他地區,例如西藏、新疆和蒙古。根據攻擊目標及某些惡意軟體的內容等判斷,該行為與中國大陸的敵對攻擊活動有關, Palo Alto相信PKPLUG的起源與此相似。
Palo Alto表示,若不全面觀察單一或多個威脅團體的每一個攻擊活動,就幾乎不可能了解威脅團體清晰的樣貌。有鑑於此,對一組相關數據,比如網路基礎結構、惡意軟體行為、行為者TTP散播與滲透等,使用一個名稱或綽號有助於更好了解正在調查的內容。透過有條理的分享資訊,並經過有結構的方式編寫的攻擊者手冊,能使其他人貢獻自己所知並豐富上述資料。
