追蹤東南亞網路間諜攻擊 Palo Alto發現「PKPLUG」團體

駭客情境示意圖。圖/Ingimage
駭客情境示意圖。圖/Ingimage

資安軟體廠商Palo Alto Networks旗下的威脅情報小組,追蹤三年東南亞的一系列網路間諜攻擊活動,有了重大發現,並將使用公開和自訂惡意軟體組合的網路間諜攻擊團體取名為「PKPLUG」。

Palo Alto指出,該名稱源自在壓縮檔中 (ZIP)散播PlugX惡意軟體,作為DLL側面加載檔案一部分的行為,因該壓縮檔文件格式的標頭中包含ASCII magic-bytes PK字眼,因此稱為PKPLUG。

PKPLUG是由一個或多個威脅小組組成,在過去六年至少使用了幾種惡意軟體,包括一些知名和較不太知名的,Palo Alto已經追蹤該攻擊者三年多。

據公開資料,Palo Alto自信地認為,PKPLUG源於中國大陸的攻擊者。 PKPLUG出於上述多種可能的原因,針對東南亞地區及周邊地區的各個國家或區域,其中包括東協組織成員中的某些國家、中國大陸中具有自治權的一些地區、某些與中國大陸一帶一路相關的國家和地區、最後還有一些陷入南海所有權問題的國家。

在追蹤這些網路間諜時,Palo Alto發現,PKPLUG除了使用PlugX以外,還有大多數自訂惡意軟體,其他酬載(Payload)包括Android應用程式HenBox和Windows後門程式Farseer等。攻擊者也使用「9002木馬病毒」,該木馬病毒被認為是由一部分小組之間所共享,其他可公開取得與PKPLUG活動有關的惡意軟體還包括Poison Ivy和Zupdax。

在調查與研究過程中,Palo Alto發現可將這些攻擊和六年前的一些攻擊記錄連結,並將這些發現統稱為PKPLUG,繼續對其進行追蹤。雖PKPLUG的最終目標尚未清晰,但推斷在受害系統(包括行動裝置)上安裝後門木馬程式以監看受害者行為並收集資訊是主要目標。

Palo Alto威脅情報小組認為,受害者主要分布在東南亞地區及周圍地區,特別是緬甸、台灣、越南和印尼,並可能還會出現在亞洲其他地區,例如西藏、新疆和蒙古。根據攻擊目標及某些惡意軟體的內容等判斷,該行為與中國大陸的敵對攻擊活動有關, Palo Alto相信PKPLUG的起源與此相似。

Palo Alto表示,若不全面觀察單一或多個威脅團體的每一個攻擊活動,就幾乎不可能了解威脅團體清晰的樣貌。有鑑於此,對一組相關數據,比如網路基礎結構、惡意軟體行為、行為者TTP散播與滲透等,使用一個名稱或綽號有助於更好了解正在調查的內容。透過有條理的分享資訊,並經過有結構的方式編寫的攻擊者手冊,能使其他人貢獻自己所知並豐富上述資料。

惡意軟體 東南亞

延伸閱讀

政策 人員 技術 打造資安防護金鐘罩

Google審核「騙錢軟體」可偽免費APP 三天後直接扣你3千元

保險首例 易遊網進沙盒賣旅平險

iPhone最安全?Google:早被惡意網站入侵多年

相關新聞

iPhone 13首曝! 瀏海變小、ProMotion螢幕、Touch ID

iPhone 12系列已正式發布,但如果還沒決定要不要換機,不妨參考一下iPhone 13的外洩消息,也許能再等等並省下...

傳美政府盯上Google 恐強制分拆Chrome瀏覽器事業

美媒引述3名知情人士報導,美國司法部及州檢察官針對Google涉嫌壟斷展開調查,擬強制Google出售旗下主宰市場的Ch...

法院裁決讓WeChat暫緩被禁 美國司法部將提出上訴

先前加州法院以違反言論自由為由,讓WeChat獲得在美國境內暫緩被禁,但美國司法部表示將對此提出上訴。

Google首頁換上插畫版張愛玲 紀念百歲誕辰

Google首頁今天出現一張穿著紅色旗袍、梳著波浪瀏海的民國女子,這名女子正是已逝作家張愛玲。Google為了紀念張愛玲...

不讓考題外洩 這個國家每年高中畢業考就會全國大斷網

這項措施早在2016年就開始,這已經幾乎是阿爾及利亞的「傳統」。由於在2016年,阿爾及利亞全國各地的高中畢業考試的考題,在考前以及考試進行中就已經外洩,因此阿爾及利亞決定讓全國都無法連上臉書等社群網路,預防他們利用社群網路來散佈題目或是答案。

Google大當機!Gmail、YouTube等服務都遭殃

Google於美國24日晚間出現大規模的服務中斷,包括電郵、YouTube和Google文件等服務都暫時無法使用。

賓拉登的硬碟中那些盜版日本動畫、成人影片 到底是用來幹嘛的?

蓋達組織的前領導人賓拉登雖然已經被擊斃,不過近十年來,專家一直在分析他留下的硬碟,裡頭除了他的日記外,還有大量盜版日本動畫跟成人影片,這些檔案到底是來自哪裡、又是給誰看的?

街口託付寶三大問題?胡亦嘉率百名員工重申:金管會說謊、一切合法

面對上個月金管會勒令停止「託付寶」,街口今天號召全體一百多名員工召開記者會,痛批金管會施法不公,並再次強調託付寶一切合法。

NVIDIA確認以400億美元價格從Softbank手中收購Arm

雖然先前在財報會議中表示並未與Softbank洽談收購Arm事宜,但NVIDIA稍早終於確認將以400億美元等值現金與NVIDIA股票收購Arm。

報導指稱中國政府認為TikTok與其出售美國業務 不如選擇被禁

而在目前中美貿易戰情況下,中國政府顯然認為TikTok業務與其被迫出售,不如選擇被美國政府禁用,才不致於被視為向美國政府低頭,似乎更讓字節跳動沒有太多退路。

台灣網速全球排第18 中華電信國內最快

網速調查機構Speedtest報告指出,台灣今年第2季行動平均下載速度達46.99 Mbps,較去年同期增近10%,今年...

NCC抓大放小?強制揭露業界機密?OTT專法草案爭議一次看

引起業界高度關注,由 NCC 擬定的 OTT 專法(網際網路視聽服務管理法)日前終於推出草案,並在今天大陣仗舉辦公聽會先帶大家快速回顧一下重要爭議:

熱門新聞

商品推薦

udn討論區

0 則留言
規範
  • 張貼文章或下標籤,不得有違法或侵害他人權益之言論,違者應自負法律責任。
  • 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合新聞網有權逕予刪除文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
  • 對於無意義、與本文無關、明知不實、謾罵之標籤,聯合新聞網有權逕予刪除標籤、停權或解除會員資格。不同意上述規範者,請勿下標籤。
  • 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合新聞網有權逕予刪除發言文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。