PlugX:客製化的遠端存取工具, 針對臺灣在內特定目標發動 APT 攻擊

2012年早些時候,一種被稱為Plugx(也被稱為 Korplug)的新型遠端存取工具(RAT)出現在真實世界中。PlugX,據報被用在有限的APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊裡,是專門為此類攻擊而客製化的遠端存取工具例子。

使用此新工具背後的想法很簡單:更少的可識性也更讓安全研究人員難以捉摸。然而,這並不代表這起攻擊是新的。趨勢科技的監測顯示使用 PlugX 的攻擊活動(至少)可以追朔至2008年2月。

該攻擊活動使用 Poison Ivy遠端存取工具據報會針對在日本、中國和臺灣的特定使用者。這攻擊活動也是今年早些時候所發表的一起大型協同攻擊的一部分。關於它的起源,我們注意到PlugX主要散布到政府相關組織和一個位於日本的特定公司。

跟之前的Poison Ivy攻擊活動類似,它是透過魚叉式釣魚郵件的附件檔到達,可能是壓縮過的檔案或特製的文件檔來攻擊 Adobe Acrobat Reader微軟 Office 的漏洞。我們還發現一起針對韓國網路公司和美國工程公司的 PlugX 案例。

 

Poison Ivy和PLUGX C&C伺服器:花開並蒂的關係

在我們的監視期間,我們最初看到一個PlugX變種會連到名為{封鎖}eo.flower-show.org的命令與控制(C&C)伺服器。根據歷史資料,我們確認這是個惡名昭彰的已知Poison Ivy C&C。使用{封鎖}eo.flower-show.org所解析出的IP地址,我們可以對應到數個C&C網域。這些C&C似乎都被Poison IvyPlugX變種所使用。

下面的關係圖顯示解析出的IP位址、C&C網域、遠端存取工具變種和這些遠端存取工具散播日期間的關係。注意到關於舊變種,我們使用的看見它們出現的最早日期。

 

在上圖中,我們可以看到雖然這起攻擊活動現在使用新的PlugX遠端存取工具,同時也還在繼續散播相對較久也更穩定的Poison Ivy變種。因為它的變體會植入除錯日誌到%System Root%\Documents and Settings\All Users\SxSbug.log,我們也懷疑PlugX可能仍在測試階段。此日誌檔記錄遠端存取工具程式碼內的可能錯誤,可能在之後上傳到攻擊者的C&C伺服器以作稽核用。

 

雖然為APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊開發客製化遠端存取工具並非新鮮事,我們可以看到PlugX的幕後黑手已經開始散佈其仍在測試中的遠端存取工具。這些惡意份子自2008年就已經存在,他們可能已經到達某種程度。很可能是在利用目標機器來改進他們的遠端存取木馬,以用在未來更加麻煩的攻擊活動中。

不幸的是,測試版遠端存取工具程式碼中的錯誤可能為攻擊者和任何被針對的組織導致意想不到的後果。例如,被存取的檔案可能非預期的損壞,造成大量的資料遺失。

趨勢科技的使用者受到主動式雲端截毒服務  Smart Protection Network的保護。特別是檔案信譽評比服務會偵測並刪除PlugXBKDR_PLUGXTROJ_PLUGX)和Poison Ivy(BDKR_POISON)變種。網頁信譽評比和電子郵件信譽評比服務會封鎖上述C&C和相關電子郵件。

 

 

@原文出處:PlugX: New Tool For a Not So New Campaign作者:Roland Dela Paz(威脅研究員)