Chinesische Cyber-Spionagegruppe: Palo Alto Network identifiziert PKPLUG als Angreifer
9. Oktober 2019
Palo Alto Networks, verfolgt seit Jahren eine Reihe von Cyber-Spionage-Angriffskampagnen in ganz Südostasien, bei denen eine Mischung aus öffentlich zugänglicher und benutzerdefinierter Malware verwendet wurde. Die Bedrohungsforscher haben den dahintersteckenden Akteuren den Namen „PKPLUG“ gegeben.
PKPLUG richtet sich aus mehreren möglichen Gründen an verschiedene Länder, die teils Mitglieder der ASEAN-Organisation sind und einige Regionen, die autonom zu China sind. Im Visier stehen auch einige Länder und Regionen, die in gewissem Maße in die chinesische „Belt and Road“-Initiative involviert sind, und schließlich einige Länder, die in Eigentumsansprüche im Südchinesischen Meer verwickelt sind.
Die aktuellen Erkenntnisse erlauben es nicht, mit großer Sicherheit festzustellen, ob dies Angriffe einer Gruppe oder mehrerer Gruppen ist, die die gleichen Werkzeuge verwenden und die gleichen Ziele verfolgen. Der Name der Gruppe kommt von der Taktik, PlugX-Malware als Teil eines DLL-Side-Load-Pakets in ZIP-Archivdateien bereitzustellen. Das ZIP-Dateiformat enthält im Header die ASCII-Bezeichnung „PK“, daher PKPLUG.
Während der Verfolgung dieser Angreifer entdeckte Palo Alto Networks weitere, meist benutzerdefinierte Malware-Familien, die von PKPLUG über PlugX hinaus verwendet werden. Zu den zusätzlichen Schadcodes gehören HenBox, eine Android-App, und Farseer, eine Windows-Backdoor. Die Angreifer verwenden auch den 9002-Trojaner. Andere öffentlich zugängliche Malware-Familien, die im Zusammenhang mit PKPLUG-Aktivitäten beobachtet wurde, sind Poison Ivy und Zupdax.
Während der Untersuchungen zu diesen Angriffen konnten die Forscher frühere Angriffe, die von anderen Quellen dokumentiert wurden und bis zu sechs Jahre zurückreichen, nachvollziehen. Palo Alto Networks kombinierte diese Informationen mit den eigenen Ergebnissen und verfolgt auch diese Aktivitäten entsprechend weiter. Derzeit ist noch nicht ganz klar, was die eigentliche Strategie von PKPLUG ist, aber die Installation von Backdoor-Trojanern auf Opfersystemen, einschließlich mobiler Geräte, die Verfolgung von Opfern und das Sammeln von Daten sind offensichtlich die wichtigsten Ziele.
Die Opfer sind hauptsächlich in und um die Region Südostasien ansässig, insbesondere in Myanmar, Taiwan, Vietnam und Indonesien, und wahrscheinlich auch in verschiedenen anderen Gebieten, wie Tibet, Xinjiang und der Mongolei, zu finden. Basierend auf Targeting, Inhalten in der Malware und Verbindungen zur Infrastruktur, die mit chinesischen nationalstaatlichen Gegnern in Verbindung gebracht wird, ist Palo Alto Networks davon überzeugt, dass PKPLUG ähnliche Ursprünge hat.
Diese Angriffe zeigen erneut, dass Spear-Phishing-E-Mails zur Übermittlung von Nutzlasten an ihre Opfer sehr beliebt sind. Einige E-Mail-Anhänge enthielten Exploits, um verwundbare Microsoft Office-Anwendungen auszunutzen, aber diese Technik wurde im Vergleich zu Social Engineering weniger häufig verwendet, um Opfer dazu zu bringen, Anhänge zu öffnen. Das seitliche Laden von DLLs scheint als Methode zur Installation oder Ausführung des Payloads fast allgegenwärtig zu sein, obwohl in jüngster Zeit auch PowerShell und PowerSploit in Betracht gezogen werden. Der Einsatz von Android-Malware deutet auf die Absicht hin, Ziele zu erreichen, die sich von herkömmlichen Computern, Betriebssystemen und Kommunikationswegen früherer Zielen unterscheiden. (rhh)
