12.10.19

PKPLUG: Chinese Cyber Espionage Group Attacking Asia "中國間諜組織持續攻擊東南亞"

原文

中文摘要
摘要

Palo Alto Networks威脅情報小組第42部門已經跟踪了一系列針對東南亞的網絡間諜活動,這些活動結合了已發布和自定義的惡意軟件。第42部門將這些攻擊和其他攻擊背後的威脅攻擊者組織列為代號PKPLUG。目前無法確定是使用相同的工具或執行相同任務的人或小組。這個代號,PKPLUG源自攻擊技術,該技術將PlugX惡意軟體作為ZIP壓縮檔中,DLL動態連結函式庫的一部分,並且在ZIP壓縮檔格式的標頭包含ASCII字節PK。
在跟踪這些攻擊者時,42部門發現不僅使用了PlugX,還使用了其他惡意軟體。這些負載包括Android應用程式的HenBox和Windows後門程式的Farseer。攻擊者還使用9002木馬,這些木馬被認為在少數攻擊群組之間共用。由於觀察了PKPLUG的活動,還發現使用了其他惡意軟體,例如Poison Ivy和Zupdax。
42部門將此攻擊與六年前其他公司先前的攻擊關聯起來。42部門將這些調查結果和我們自己的調查結果匯總為PKPLUG,並繼續進行跟踪。
儘管PKPLUG的最終目標尚不清楚,但是由於在行動設備上安裝了後門木馬,因此假定目標是跟踪受害者並收集資訊。
受害者主要分佈在東南亞地區,尤其是緬甸,台灣,越南和印度,還有可能存在其他地區,例如西藏,新疆維吾爾自治區和蒙古。42部門相信PKPLUG的來源和先前分析的攻擊結構有關聯,因為它與某些惡意軟體的內容和中國國家攻擊組織有關。



目標

根據PKPLUG攻擊活動以及與各行業合作夥伴合作獲得的知識,受害人可能主要居住在東南亞地區。目標國家是緬甸和台灣,但越南和印度也可能包括在內。亞洲的其他目標地區包括蒙古,西藏和新疆維吾爾自治區。該網頁相關的攻擊手冊更加詳細地描述了惡意軟體派發,釣魚程式和社交工程,命令和控制C&C結構等的技術。
印度,緬甸和越南是東盟成員,並為該地區的政府間合作做出了貢獻。蒙古,是一個獨立的國家,也被稱為外蒙古,與中華人民共和國有著多年的複雜關係。西藏自治區和新疆維吾爾自治區是中國的自治區,歸中華人民共和國管轄。
這些地區中的大多數都以某種方式參與了中國政府的“ 一帶一路”倡議。該計劃旨在連接東南亞,東歐和非洲的71個國家。透過新疆維吾爾自治區擴張。中國南海主權的擴張進一步加劇了區域緊張局勢。台灣並未參與“一帶一路”倡議,但最近美國出售武器導致情況變得更糟

時間表


從時間軸上可以看到,PKPLUG已經活躍了超過六年了。

注意:時間軸中顯示的日期是調查的發布日期,而不是攻擊日期。HenBox於2018年被發現,但不同之處在於從2015年到本週都有樣本。PlugX和Poison Ivy仍在傳播,您可以看到不同的小組正在使用它們。但是,尚不清楚這些是否與PKPLUG有關。

#1: 2013年11月,Blue Coat Lab 發布了一份報告,說明了使用PlugX惡意軟體攻擊蒙古的案例。像過去十年中的PlugX攻擊和許多其他攻擊一樣,Blue Coat提到了惡意DLL規避的技術,該技術透過合法簽名的應用程式啟動惡意軟體。 Blue Coat Lab的報告還記錄了該組織利用Microsoft Office軟體漏洞的情形。在這種情況下,使用改造過的Word文件(通常為mht副檔名)保存為網頁格式,在利用CVE-2012-0158漏洞,刪除並執行已認證過的WinRAR SFX存檔。分析所有與PKPLUG相關的惡意軟體,這種方法比使用社交工程的魚叉式網絡釣魚技術還要稀少。

#2: Arbor Networks在2016年4月發布的一份報告中,詳細介紹了過去12個月中使用Poison Ivy惡意軟體對緬甸和其他亞洲國家進行的網路攻擊事件。

他們發現網路釣魚電子郵件利用東盟成員資格,經濟和民主為相關主題感染Poison Ivy惡意軟體。

#3:42部門發布了有關透過Google雲端硬碟派發的9002木馬攻擊進行了調查。攻擊始於魚叉式網路釣魚電子郵件,其中包含短網址,該網址進行了多次重新指向,然後下載了Google雲端硬碟上託管的ZIP壓縮檔。受害者收到了魚叉式網路釣魚電子郵件並點擊了鏈接。在這種情況下,該組織獲得了有關某人的資訊,該人是緬甸著名的政治家和人權活動家。ZIP壓縮檔檔名與國家設施的誘騙文件內容有關。該ZIP壓縮檔包含一個惡意DLL函式庫,該技術利用RealNetworks,Inc.合格簽名的Real Player執行檔感染9002木馬。

#4: 2017年3月,研究人員發表了一份日文報告,後來將其翻譯成英文,解釋了VKRL(香港網絡安全公司)發現的攻擊。在此攻擊中,使用了包含網路釣魚郵件的魚叉式電子郵件,該網址使用GeoCities Japan免費網頁託管網站分發惡意軟體。對於網站的內容,執行PowerShell命令,從該站點下載Microsoft Word文件,解碼編碼的VBScript和Poison Ivy惡意程式碼,並啟動PowerSploit,一個與後期利用框架非常相似的PowerShell腳本。

還將找到另一個託管類似軟體的GeoCities帳戶,您可以在誘餌文件中看到它針對蒙古。假設受害者單擊了魚叉式網路釣魚電子郵件中的網址,該文件內容使用與AppLocker Bypass繞過應用程序控制策略非常相似的技術,並使用受信任的Windows可執行文件執行惡意程式

#5:在2018年初,42部門發現了一個新的Android惡意軟體家族。我們將其命名為“ HenBox”,自2015年下半年以來已跟踪了400多個相關樣本,並且至今仍在跟踪它們。

HenBox冒充合法的Android應用,並將維吾爾族作為其主要目標。他們生活在中國西北部的新疆維吾爾自治區,HenBox專門針對講土耳其語的穆斯林少數族群。HenBox還針對中國製造商小米所製造的設備。

該地區,智慧型手機是惡意軟體的主要目標。安裝後,HenBox會從設備上的大量資訊來源中收集資訊,例如竊聽以國家代碼“ +86”開頭的號碼的撥出電話,存取設備的麥克風和攝像頭等。

調查過程中,數據顯示,從uyghurapps.Net網站下載的是較舊版本的HenBox。網站是第三方Android應用程序商店,顯示根據域名,站點語言及所列出應用程式的資訊來定位維吾爾族。HenBox模擬了另一個名為DroidVPN的應用程式,該應用程式也嵌入在HenBox中並在感染後安裝。

對HenBox的另一項調查中,421部門發現了一個未知的 Windows後門特洛伊木馬,名為Farseer。Farseer使用DLL函式庫規避技術來安裝惡意軟體。這次,使用來自VisualStudio簽名過的Microsoft可執行檔來掩蓋正式版本。透過VBScript寫入登入檔註冊表在用戶登錄過程中啟動Microsoft可執行檔和Farseer。Farseer的早期變種證實,有些緬甸新聞的PDF檔被用來當成誘騙文件。

Blue Coat Lab在其網頁“針對蒙古為目標使用的PlugX”中所發布的C&C基礎結構是父網域bodologetee.com中包含的microsoftwarer.com和ppt.bodologetee.com。在有關FHAPPI攻擊“ FHAPPI”活動:FreeHosting APT PowerSploit Poison Ivy的報告中所描訴的資訊進行搜索,發現了microsoftwarer.com網域。

Poison Ivy中使用PowerShell和PowerSploit程式碼,在PlugX惡意軟體中也發現了非常相似的程式碼。其中一部分是與logitechwkgame.com與logitechwkgame.com的C&C通信。

FHAPPI透過共用的IPv4地址連接到microsoftdefence.com,還使用相關的C&C結構連接到其他惡意軟體。

一些HenBox惡意軟體還使用網域cdncool.com進行C&C通信。在42部門的報告中分析網域cdncool.com不僅連接到HenBox和Farseer活動,而且還將通過Poison Ivy惡意軟體連接到Blue Coat Labs和Arbor Networks記錄的攻擊活動。HenBox還通過第三級網域update.queryurl,com連接到某些Farseer樣本用於C&C通信的queryurl.com網域。

沒有留言:

張貼留言