Palo Alto Networks
Chinesische Cyberspionagegruppe als PKPLUG identifiziert
Fortsetzung des Artikels von Teil 1
Targeting, Inhalte und Malware
Die eigentliche Strategie von PKPLUG ist noch im Dunkeln. Dennoch liegt auf der Hand, dass die Installation von Backdoor-Trojanern auf Opfersystemen, einschließlich mobiler Geräte, die Verfolgung von Opfern und das Sammeln von Daten die bedeutendsten Ziele darstellen.
Die Opfer gruppieren sich überwiegend um die Region Südostasien und sind insbesondere in Myanmar, Taiwan, Vietnam und Indonesien, und vermutlich ebenfalls in verschiedenen anderen Gebieten, wie Tibet, Xinjiang und der Mongolei ansässig.
Angesichts Targeting, Inhalten in der Malware sowie Verbindungen zur Infrastruktur, die mit chinesischen nationalstaatlichen Gegnern assoziiert wird, geht Palo Alto Networks davon aus, dass PKPLUG ähnliche Wurzeln hat.
Diese Angriffe legen erneut dar, dass sich Spear-Phishing-E-Mails zur Übermittlung von Nutzlasten an Opfer großer Beliebtheit erfreuen. In einigen E-Mail-Anhängen fanden sich Exploits, um damit verwundbare Microsoft Office-Anwendungen auszunutzen. Dennoch bedienten sich die Angreifer seltener an dieser Technik, um Opfer zum Öffnen von Anhängen zu bewegen. Weitaus häufiger kam für diesen Zweck Social Engineering zum Einsatz. Als Methode zur Installation oder Ausführung des Payloads wurde besonders häufig das seitliche Laden von DLLs beobachtet. Seit kurzem werden hierfür aber auch PowerShell und PowerSploit in Betracht gezogen. Aufgrund des Einsatzes von Android-Malware kann davon ausgegangen werden, dass Ziele anvisiert werden, die sich von herkömmlichen Computern, Betriebssystemen und Kommunikationswegen früherer Zielen unterscheiden.
- Chinesische Cyberspionagegruppe als PKPLUG identifiziert
- Targeting, Inhalte und Malware
Lesen Sie mehr zum Thema
