络安全公司Palo Alto Networks旗下威胁情 团队Unit 42于近日发文称,该团队近三年来一直在针对一系列覆盖整个亚洲地区的 络间谍攻击活动进行追踪,并将这一系列活动归因于一个可能的新黑客组织——PKPLUG。
之所以说“可能”,是因为Unit 42团队到目前为止还无法判定这一系列活动都是同一个组织所为,还是使用相同工具的多个组织。但可以肯定的是,这一系列活动的确存在许多相似性,比如都使用了一些公开可用的恶意软件(如PlugX、Poison Ivy和Zupdax)。
当然,除公开可用的恶意软件外,Unit 42团队也发现了一些此前从未被公开披露过的恶意软件,包括Android恶意应用HenBox,以及Windows后门程序Farseer,这就导致归因非常困难。
另外,PKPLUG的最终目标也无法判断,因为他们到目前所干的事,就是在受感染设备上安装后门木马,受感染设备主要分布在东南亚地区及周边地区,尤其是缅甸、越南和印度尼西亚,以及我国部分地区。
PKPLUG至少已活跃6年之久
从活动开始的时间来看,PKPLUG至少在6年前就已经存在,并且一直在不断改变他们的攻击目标、传播方式以及攻击方法。
活动1:
活动2:
活动3:
活动4:
活动5:
活动6:
归因分析
下图展示的是到目前为止已知的与PKPLUG相关的恶意软件样本和基础设施,其中在不同活动中使用的恶意软件之间存在部分重叠,这不仅体现在基础架构上(域名、IP地址被重复使用),也体现在恶意特征上(程序运行时行为或静态代码特征)。
下面这张图是上图的简化版本,重点展示了与上述6起活动相关的基础设施,我们可以更加清楚地看到一些重叠的存在。
有关PKPLUG更详细的信息可以查看Unit 42团队发布的原始 告,其中包含了Palo Alto Networks以及其他几家 络安全公司针对具体活动以及恶意软件的分析。
结论
如果不能全面了解一个黑客组织的每一起攻击活动,几乎就无法建立起有关该黑客组织清晰的框架,进而也就无法对这个黑客组织做到真正的了解。
结合其他 络安全公司的研究成果,Unit 42团队认为PKPLUG有可能是一个独立的黑客组织,或是多个黑客组织。
但可以肯定的是,他们至少使用了六个不同恶意软件家族(包括知名的Poison Ivy和PlugX,以及不那么知名的9002、HenBox和Farseer),并且在过去的六年里一直保持活跃,或许还将一直活跃下去。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!