TeamT5於亞洲黑帽安全大會發布最新研究

TeamT5於亞洲黑帽安全大會發布最新研究

TeamT5 杜浦數位安全長期致力於亞太地區駭客團體研究,於今年度亞洲最大資安研討會 Black Hat Asia 發布最新研究,說明新興的模組化後門程式 Pangolin8RAT 與其關聯駭客團體。

有鑑於後門程式模組化及多駭客團體共用的趨勢,TeamT5 威脅情資分析師 Silvia Yeh 與威脅情資研究員 Leon Chang 警示既有 APT 攻擊分析方法可能不再適合,企業組織宜運用多層次威脅情資,掌握駭客動態。 

過去像是 PlugX、ShadowPad等模組化惡意軟體製作而成的木馬程式,常見於中國國家級支持的網路行動。自2020年中,TeamT5 偵測到模組化木馬程式 Pangolin8RAT 在亞太區域區域,有可能是前述模組化惡意軟體的後繼者。Pangolin8RAT 命名來自其 PDB string「pangolin」 和其 RTTI 「p8rat」,該模組化特徵為可經由C2指令,進行 DLL 下載,而擴展功能。其早期版本支援8種通訊協定,包含 TCP、HTTPS、UDP、DNS、ICMP、HTTPSIPV6、WEB、SSH。

TeamT5 將使用 Pangolin8RAT 後門程式的駭客團體命名為「天吳」,為記載於《山海經》的八首人面怪獸。2020-2021年之間,該駭客團體鎖定線上娛樂產業、賭博業、資訊業、電信業、交通運輸業、政府單位、異議人士等,進行網路攻擊。

本次演講中,TeamT5 研究團隊並探索「天吳」與惡名昭彰的中國 APT 團體 Amoeba (別名 APT41)的關聯,兩者的相似性來自他們使用之模組化惡意程式結構、攻擊手法(TTPs)與攻擊範圍。

TeamT5 研究團隊指出由於模組化後門程式可以降低駭客團體研發惡意軟體的成本,模組化後門程式成為趨勢。有鑑於此,先前針對 APT 攻擊的研究架構與分類可能不再適用於未來出現的 APT 攻擊,建議企業組織宜運用從戰術(tactic)、實戰(operation)、戰略(strategy)等層級的威脅情資,掌握網路威脅的全貌。

Hsuann
作者

T客邦特約編輯 ,負責產業即時報導、資訊整理

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則