Mehrere mögliche Gründe

Verschiedene südostasiatische Länder wurden angegriffen. Hierbei hat es vor allem Länder getroffen, die Mitglieder der ASEAN-Organisation sind, aber auch einige Regionen, die autonom zu China sind. Im Visier stehen auch einige Länder und Regionen, die in gewissem Maße in die chinesische „Belt and Road“-Initiative involviert sind, und schließlich einige Länder, die in Eigentumsansprüchen im Südchinesischem Meer verwickelt sind.

Trotz aktueller Erkenntnisse ist es bislang nicht möglich, sicher festzustellen, ob die Angriffe einer Gruppe oder mehrerer Gruppen, die die gleichen Werkzeuge verwenden und die gleichen Ziele verfolgen, zuzuschreiben sind. Die Akteure haben aber den Namen PKPLUG bekommen. Der Name stammt von der Taktik, PlugX-Malware als Teil eines DLL-Side-Load-Pakets in ZIP-Archivdateien bereitzustellen. Das ZIP-Dateiformat enthält im Header die ASCII-Bezeichnung „PK“, daher der Name PKPLUG.

Während der Verfolgung dieser Angreifer entdeckte Palo Alto Networks weitere, meist benutzerdefiniert Malware-Familien, die von PKPLUG über PlugX hinaus verwendet werden. Zu den zusätzlichen Schadcodes gehören HenBox, eine Android App und Farseer, eine Windows-Backdoor. Die Angreifer verwenden auch den 9002-Trojaner. Andere öffentlich zugängliche Malware-Familien die im Zusammenhang mit PKPLUG-Aktivitäten beobachtet wurden, sind Poison Ivy und Zupdax.

Nicht greifbar

Im Zuge der Untersuchungen stellte Palo Alto Networks auch fest, dass die Akteure bereits seit mehreren Jahren die böswilligen Aktionen durchführen. Es wurden Quellen dokumentiert, die bis zu sechs Jahre zurückreichen. Dennoch bleibt es bisher unklar, was die genaue Strategie von PKPLUG ist oder welches konkrete Ziel sie verfolgen. Was aber stark angenommen wird, sind die Absichten, Backdoor-Trojaner auf Opfersystemen, einschließlich mobiler Geräte, zu installieren, sowie die Verfolgung von Opfern und das Sammeln von Daten.

Aufgrund der Tatsache, dass die meisten Angriffe in Regionen in Südostasien getätigt wurden, hier hauptsächlich in Myanmar, Taiwan, Vietnam und Indonesien, gehen die Experten davon aus, dass PKPLUG mit hoher Wahrscheinlichkeit auch aus dieser Umgebung stammt.

Die Gefahr von Spear-Phishing

Diese Angriffe sind erneut Beweis dafür, dass Spear-Phishing-E-Mails zur Übermittlung von Nutzlasten an ihre Opfer sehr beliebt sind. Einige der untersuchten E-Mail-Anhänge enthielten Exploits, um verwundbare Microsoft Office-Anwendungen auszunutzen, aber diese Technik wurde im Vergleich zu Social Engineering weniger häufig verwendet, um Opfer dazu zubringen, Anhänge zu öffnen. Das seitliche Laden von DLLs scheint als Methode zur Installation oder Ausführung des Payloads fast allgegenwärtig zu sein, obwohl in jüngsterZeit auch PowerShell und PowerSploit in Betracht gezogen werden. Der Einsatz von Android-Malware deutete auf die Absicht hin, Ziele zu erreichen, die sich von herkömmlichen Computern, Betriebssystemen und Kommunikationswegen früherer Ziele unterscheiden.