安基网 首页 资讯 安全报 查看内容

解读PKPLUG黑客组织:已存在6年之久,手里掌握着多种恶意软件

2019-11-1 19:33| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 网络安全公司Palo Alto Networks旗下威胁情报团队Unit 42于近日发文称,该团队近三年来一直在针对一系列覆盖整个亚洲地区的网络间谍攻击活动进行追踪,并将这一系列活动归因于一个可能的新黑客组织——PKPLUG。之所以说“可能”,是因为Unit 42团队到目前为止还无法判定这一系列活动都是同一个组织所为 ...
网络安全公司Palo Alto Networks旗下威胁情报团队Unit 42于近日发文称,该团队近三年来一直在针对一系列覆盖整个亚洲地区的网络间谍攻击活动进行追踪,并将这一系列活动归因于一个可能的新黑客组织——PKPLUG。

之所以说“可能”,是因为Unit 42团队到目前为止还无法判定这一系列活动都是同一个组织所为,还是使用相同工具的多个组织。但可以肯定的是,这一系列活动的确存在许多相似性,比如都使用了一些公开可用的恶意软件(如PlugX、Poison Ivy和Zupdax)。

当然,除公开可用的恶意软件外,Unit 42团队也发现了一些此前从未被公开披露过的恶意软件,包括Android恶意应用HenBox,以及Windows后门程序Farseer,这就导致归因非常困难。

另外,PKPLUG的最终目标也无法判断,因为他们到目前所干的事,就是在受感染设备上安装后门木马,受感染设备主要分布在东南亚地区及周边地区,尤其是缅甸、越南和印度尼西亚,以及我国部分地区。

PKPLUG至少已活跃6年之久

从活动开始的时间来看,PKPLUG至少在6年前就已经存在,并且一直在不断改变他们的攻击目标、传播方式以及攻击方法。

活动1:

  • 报告时间:2013年11月
  • 攻击目标:蒙古国
  • 恶意软件:PlugX

活动2:

  • 报告时间:2016年4月
  • 攻击目标:缅甸及其他亚洲国家
  • 恶意软件:Poison Ivy

活动3:

  • 报告时间:2016年7月
  • 攻击目标:缅甸
  • 恶意软件:9002木马

活动4:

  • 报告时间:2017年3月
  • 攻击目标:总部位于香港的网络安全公司VKRL
  • 恶意软件:Poison Ivy

活动5:

  • 报告时间:2018年3月
  • 攻击目标:维吾尔族人、小米用户
  • 恶意软件:Android恶意应用HenBox

活动6:

  • 报告时间:2019年2月
  • 攻击目标:缅甸、蒙古国
  • 恶意软件:Farseer

归因分析

下图展示的是到目前为止已知的与PKPLUG相关的恶意软件样本和基础设施,其中在不同活动中使用的恶意软件之间存在部分重叠,这不仅体现在基础架构上(域名、IP地址被重复使用),也体现在恶意特征上(程序运行时行为或静态代码特征)。

下面这张图是上图的简化版本,重点展示了与上述6起活动相关的基础设施,我们可以更加清楚地看到一些重叠的存在。

有关PKPLUG更详细的信息可以查看Unit 42团队发布的原始报告,其中包含了Palo Alto Networks以及其他几家网络安全公司针对具体活动以及恶意软件的分析。

结论

如果不能全面了解一个黑客组织的每一起攻击活动,几乎就无法建立起有关该黑客组织清晰的框架,进而也就无法对这个黑客组织做到真正的了解。

结合其他网络安全公司的研究成果,Unit 42团队认为PKPLUG有可能是一个独立的黑客组织,或是多个黑客组织。

但可以肯定的是,他们至少使用了六个不同恶意软件家族(包括知名的Poison Ivy和PlugX,以及不那么知名的9002、HenBox和Farseer),并且在过去的六年里一直保持活跃,或许还将一直活跃下去。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6752779784700314115/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部