【Black Hat Asia 2022】後門程式模組化與 APT 攻擊趨勢剖析 TeamT5 於 Black Hat Asia 發布最新研究

過去像是 PlugX、ShadowPad等模組化惡意軟體製作而成的木馬程式，常見於中國國家級支持的網路行動。自2020年中，TeamT5 偵測到模組化木馬程式 Pangolin8RAT 在亞太區域區域，有可能是前述模組化惡意軟體的後繼者。Pangolin8RAT 命名來自其 PDB string "pangolin" 和其 RTTI “p8rat”，該模組化特徵為可經由C2指令，進行DLL下載，而擴展功能。其早期版本支援8種通訊協定，包含 TCP, HTTPS, UDP, DNS, ICMP, HTTPSIPV6, WEB, SSH。

TeamT5 將使用 Pangolin8RAT 後門程式的駭客團體命名為「天吳」，為記載於《山海經》的八首人面怪獸。2020-2021年之間，該駭客團體鎖定線上娛樂產業、賭博業、資訊業、電信業、交通運輸業、政府單位、異議人士等，進行網路攻擊。

本次演講中，TeamT5 研究團隊並探索「天吳」與惡名昭彰的中國 APT 團體 Amoeba (別名 APT41)的關聯，兩者的相似性來自他們使用之模組化惡意程式結構、攻擊手法(TTPs)與攻擊範圍。

TeamT5 研究團隊指出由於模組化後門程式可以降低駭客團體研發惡意軟體的成本，模組化後門程式成為趨勢。有鑑於此，先前針對 APT 攻擊的研究架構與分類可能不再適用於未來出現的 APT 攻擊，建議企業組織宜運用從戰術(tactic)、實戰(operation)、戰略(strategy)等層級的威脅情資，掌握網路威脅的全貌。

黑帽大會（Black Hat）每年聚集全球資訊安全專家、優秀研究人員於一堂，透過資安研究、開發與最新趨勢交流，鼓勵學術界、世界級研究人員與各領域決策及領導者間的合作、成長。黑帽簡報會（Black Hat Briefing）與培訓（Training）每年也都在美國、歐洲與亞洲舉行，匯集全球資安頂尖人員參與盛會。