- 您以为自己下载的是VPN,但事实上那是一个间谍软件 …… 这是来自中国的攻击者使用的手段
研究人员透露,一些未公开的来自中国的攻击者自2013年以来在东南亚地区至少开展了六次不同的网络间谍活动。
Palo Alto Networks 威胁情报小组 Unit 42 披露的调查结果将这些攻击与一个名为 PKPLUG 的组织联系在一起,该组织的名字来自于其在ZIP文件中传送 PlugX 恶意软件,并带有签名“PK”。
Unit 42 表示,其归因含糊不清是因为“我们目前的可见度无法让我们高度确定这是一个小组的工作,还是使用相同工具、执行相同任务的多个小组的协同工作”。
PKPLUG 被发现可以在受害者的系统(包括移动设备)上安装后门特洛伊木马植入程序,以跟踪和收集信息,尽管其最终动机尚不清楚。
该攻击组织的主要目标包括缅甸、台湾、越南、印度尼西亚,以及蒙古、西藏和新疆,后者均以与中国的有争议的关系而闻名。
特别是新疆,是该国维吾尔族穆斯林少数民族的家园。近年来,维吾尔族穆斯林一直受到迫害和加强的监视。
Unit 42 的 Alex Hinchliffe 说:“这个攻击小组(或多个小组)拥有悠久的历史,并且创建了一系列定制工具,这意味着它们具有持久性和丰富的资源。”
“例如,自定义 Android 恶意软件的创建和使用[…]可能表明其目标需要基于大众所普遍使用的操作系统、或需要的功能。这个小组很有耐心。”
PKPLUG 操作方式
Unit 42 的报告结合了自己的研究成果和 Blue Coat Labs 及 Arbor Networks 等其他网络安全公司发布的研究成果,汇总了 PKPLUG 基于恶意软件的策略、技术和程序(TTP)的时间表。
据说最早的 PKPLUG 攻击是在2013年11月发生的,当时他们被发现使用 PlugX 恶意软件针对蒙古人。
三年后,他们再次被发现使用 Poison Ivy 恶意软件针对缅甸和其他亚洲国家的人。
同年,Unit 42 报告了通过鱼叉式网络钓鱼电子邮件的攻击,其中电子邮件用于下载托管在 Google 云端硬盘上的ZIP文件,该文件加载了木马程序以破坏受害者的设备。
在2018年初,该公司发现了一个名为 HenBox 的新恶意软件家族,⚠️它伪装成合法的 Android 应用程序,主要针对维吾尔族人并针对性危害小米设备,目的是捕获打入中国的外来电话、并访问手机的麦克风和摄像头。
值得注意的是 PKPLUG 邪恶的另一招,以诱使毫无戒心的用户:攻击者使间谍软件在第三方 Android 应用商店上可用,⚠️甚至冒充名为 DroidVPN 的VPN应用来诱使用户下载。
VPN 应用程序是中国公民绕过防火墙的最常见方式,而且,它们被用作攻击媒介的事实表明,⚠️网络犯罪分子越来越倾向于依靠用户对与安全相关的应用程序的信任来安装恶意软件。
快进到2019年2月,Unit 42 发现了该攻击组织对 Windows 已知后门程序 Farseer 的使用,该后门程序利用侧载库来安装恶意有效载荷 — 一种将其不同活动连接在一起的常用技术。
该研究指出,PKPLUG 对域名和IP地址的重用也有助于加强不同网络攻势之间的重叠。
端点安全性的需求
去年10月,Check Point Research 披露了由一个名为 Rancor 的中国骇客组织针对东南亚进行的类似数据窃取活动,此后 PKPLUG 精心策划的网络间谍攻击的细节才被曝光。
当被问及这些国家赞助的恶意行为者是否可以协同工作以大规模开展有针对性的攻击行动时,Hinchliffe 表示:“我们已经看到像俄罗斯这样的民族国家可以雇用各种团体来发动攻击,尽管在这种情况下有可能,但我们目前没有足够的数据来验证这种假设。”
除了避免从第三方 Android 商店下载应用程序外,Hinchliffe 还建议企业保护其网络端点,并通过限制设备对网络的访问来评估其 BYOD(“自带设备”的缩写)策略。
尽管这项最新研究可以一窥 PKPLUG 的活动,但远非定论。
“也许还需要更多的案例研究。对 PKPLUG 等威胁性组织的了解越多,防御的方向就会越完整”,Hinchliffe 说。⚪️
State-sponsored Chinese hackers have been targeting Southeast Asia since 2013