Schwerpunkte

Palo Alto Networks

Chinesische Cyberspionagegruppe als PKPLUG identifiziert

04. Oktober 2019, 14:18 Uhr   |  Stephanie Jarnig

Chinesische Cyberspionagegruppe als PKPLUG identifiziert
© valerybrozhinsky - AdobeStock

Palo Alto Networks analysiert seit geraumer Zeit Cyberangriffe auf Ziele in Südostasien. Dabei konnte basierend auf der Untersuchung der verwendeten Werkzeuge und fokussierten Ziele die Angreifergruppe als PKPLUG identifiziert werden.

Palo Alto Networks ist seit mehreren Jahren einigen Cyberspionage-Angriffskampagnen in Südostasien auf der Spur, deren Akteure unter dem Namen »PKPLUG« geführt werden. Für die Attacken setzen die Angreifer einen Mix aus öffentlich zugänglicher und benutzerdefinierter Malware ein. Neben verschiedenen Ländern, die teilweise Mitglieder der ASEAN-Organisation sind, gehören auch autonome Regionen in der Volksrepublik China, Länder und Regionen, die an der Initiative „Neue Seidenstraße“ beteiligt sind sowie solche, die in Eigentumsansprüche im Südchinesischen Meer involviert sind, zu ihren Zielen.
Unklar ist bisher, ob es sich bei den Angreifern um eine einzelne oder mehrere Gruppen handelt. Fest steht jedoch, dass dabei stets die gleichen Werkzeuge zum Einsatz kommen. Ebenso sind Parallelen hinsichtlich der verfolgten Ziele zu beobachten.

Der Name der Gruppe nimmt Bezug auf die Taktik, PlugX-Malware als Teil eines DLL-Side-Load-Pakets in ZIP-Archivdateien bereitzustellen. Das ZIP-Dateiformat enthält im Header die ASCII-Bezeichnung »PK«, daher PKPLUG.

Im Zuge der Verfolgung dieser Angreifer stieß Palo Alto Networks auf eine Reihe von weiteren, häufig benutzerdefinierten Malware-Familien, die von PKPLUG über PlugX hinaus eingesetzt werden. Zu den zusätzlichen Schadcodes zählen die Android-App sowie Farseer, eine Windows-Backdoor. Darüber hinaus ist ebenfalls der 9002-Trojaner in Gebrauch. Weitere öffentlich zugängliche Malware-Familien, die mit PKPLUG-Aktivitäten assoziiert werden, sind Poison Ivy und Zupdax.
Den Forschern gelang es, frühere von anderen Quellen erfasste Angriffe, die bis zu sechs Jahre zurückreichen, nachzuvollziehen. Die hieraus gezogenen Informationen kombinierte Palo Alto Networks mit den eigenen Ergebnissen und verfolgt auch diese Aktivitäten entsprechend weiter.

Seite 1 von 2

1. Chinesische Cyberspionagegruppe als PKPLUG identifiziert
2. Targeting, Inhalte und Malware

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Palo Alto Networks

Apps

IT-Security