TeamT5 杜浦數位安全長期致力於亞太地區駭客團體研究,於今年度亞洲最大資安研討會 Black Hat Asia 發布最新研究,說明新興的模組化後門程式 Pangolin8RAT 與其關聯駭客團體。有鑑於後門程式模組化及多駭客團體共用的趨勢,TeamT5 威脅情資分析師 Silvia Yeh 與威脅情資研究員 Leon Chang 警示既有 APT 攻擊分析方法可能不再適合,企業組織宜運用多層次威脅情資,掌握駭客動態。
過去像是 PlugX、ShadowPad等模組化惡意軟體製作而成的木馬程式,常見於中國國家級支持的網路行動。自2020年中,TeamT5 偵測到模組化木馬程式 Pangolin8RAT 在亞太區域區域,有可能是前述模組化惡意軟體的後繼者。Pangolin8RAT 命名來自其 PDB string "pangolin" 和其 RTTI “p8rat”,該模組化特徵為可經由C2指令,進行DLL下載,而擴展功能。其早期版本支援8種通訊協定,包含 TCP, HTTPS, UDP, DNS, ICMP, HTTPSIPV6, WEB, SSH。
TeamT5 將使用 Pangolin8RAT 後門程式的駭客團體命名為「天吳」,為記載於《山海經》的八首人面怪獸。2020-2021年之間,該駭客團體鎖定線上娛樂產業、賭博業、資訊業、電信業、交通運輸業、政府單位、異議人士等,進行網路攻擊。
本次演講中,TeamT5 研究團隊並探索「天吳」與惡名昭彰的中國 APT 團體 Amoeba (別名 APT41)的關聯,兩者的相似性來自他們使用之模組化惡意程式結構、攻擊手法(TTPs)與攻擊範圍。
TeamT5 研究團隊指出由於模組化後門程式可以降低駭客團體研發惡意軟體的成本,模組化後門程式成為趨勢。有鑑於此,先前針對 APT 攻擊的研究架構與分類可能不再適用於未來出現的 APT 攻擊,建議企業組織宜運用從戰術(tactic)、實戰(operation)、戰略(strategy)等層級的威脅情資,掌握網路威脅的全貌。
關於黑帽大會(Black Hat)
黑帽大會(Black Hat)每年聚集全球資訊安全專家、優秀研究人員於一堂,透過資安研究、開發與最新趨勢交流,鼓勵學術界、世界級研究人員與各領域決策及領導者間的合作、成長。黑帽簡報會(Black Hat Briefing)與培訓(Training)每年也都在美國、歐洲與亞洲舉行,匯集全球資安頂尖人員參與盛會。
Related Post
活動訊息
2022.05.16
【Black Hat Asia 2022】中國駭客團體攔胡線上博弈產業 TeamT5 分析最新大規模網路攻擊手法
threat hunting, cyber threat intelligence
活動訊息
2021.05.12
【BlackHat Asia】TeamT5 研究員登上亞洲黑帽安全大會
Black Hat, Mem2Img, CloudDragon, Black Hat Asia, cyber threat intelligence, threat hunting