Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Chinesische Cyberspionagegruppe als PKPLUG identifiziert

Palo Alto Networks

Chinesische Cyberspionagegruppe als PKPLUG identifiziert

4. Oktober 2019, 14:18 Uhr | Stephanie Jarnig
© valerybrozhinsky - AdobeStock

Palo Alto Networks analysiert seit geraumer Zeit Cyberangriffe auf Ziele in Südostasien. Dabei konnte basierend auf der Untersuchung der verwendeten Werkzeuge und fokussierten Ziele die Angreifergruppe als PKPLUG identifiziert werden.

Palo Alto Networks ist seit mehreren Jahren einigen Cyberspionage-Angriffskampagnen in Südostasien auf der Spur, deren Akteure unter dem Namen »PKPLUG« geführt werden. Für die Attacken setzen die Angreifer einen Mix aus öffentlich zugänglicher und benutzerdefinierter Malware ein. Neben verschiedenen Ländern, die teilweise Mitglieder der ASEAN-Organisation sind, gehören auch autonome Regionen in der Volksrepublik China, Länder und Regionen, die an der Initiative „Neue Seidenstraße“ beteiligt sind sowie solche, die in Eigentumsansprüche im Südchinesischen Meer involviert sind, zu ihren Zielen.
Unklar ist bisher, ob es sich bei den Angreifern um eine einzelne oder mehrere Gruppen handelt. Fest steht jedoch, dass dabei stets die gleichen Werkzeuge zum Einsatz kommen. Ebenso sind Parallelen hinsichtlich der verfolgten Ziele zu beobachten.

Der Name der Gruppe nimmt Bezug auf die Taktik, PlugX-Malware als Teil eines DLL-Side-Load-Pakets in ZIP-Archivdateien bereitzustellen. Das ZIP-Dateiformat enthält im Header die ASCII-Bezeichnung »PK«, daher PKPLUG.

Im Zuge der Verfolgung dieser Angreifer stieß Palo Alto Networks auf eine Reihe von weiteren, häufig benutzerdefinierten Malware-Familien, die von PKPLUG über PlugX hinaus eingesetzt werden. Zu den zusätzlichen Schadcodes zählen die Android-App sowie Farseer, eine Windows-Backdoor. Darüber hinaus ist ebenfalls der 9002-Trojaner in Gebrauch. Weitere öffentlich zugängliche Malware-Familien, die mit PKPLUG-Aktivitäten assoziiert werden, sind Poison Ivy und Zupdax.
Den Forschern gelang es, frühere von anderen Quellen erfasste Angriffe, die bis zu sechs Jahre zurückreichen, nachzuvollziehen. Die hieraus gezogenen Informationen kombinierte Palo Alto Networks mit den eigenen Ergebnissen und verfolgt auch diese Aktivitäten entsprechend weiter.

  1. Chinesische Cyberspionagegruppe als PKPLUG identifiziert
  2. Targeting, Inhalte und Malware

Lesen Sie mehr zum Thema

Palo Alto Networks GmbH
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Palo Alto Networks GmbH

Cybersicherheit im Public Sector

Warum NIS2 mehr ist als Regulierungsdruck

Für Palo Alto Networks-Partner in DACH

SOC-MSSP-Lösung von Exclusive Networks

Palo Alto: Ransomware-Eskalation

Medusa schlägt professioneller zu

Security-Distribution

TD Synnex vertreibt Lösungen von Palo Alto Networks in Europa

Cybersicherheit für Unternehmenskunden

Florian Hartwig ist Vice President Germany bei Palo Alto

Matchmaker+
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH
WatchGuard Technologies

WatchGuard Technologies
EKINOPS Deutschland GmbH

EKINOPS Deutschland GmbH
Dahua Technology GmbH

Dahua Technology GmbH
NFON AG

NFON AG
AixpertSoft GmbH

AixpertSoft GmbH