PKPLUG黑客组织 PKPLUG组织介绍

PKPLUG来自于将plugx恶意软件作为dll放入zip存档文件中的策略，zip文件格式的头中包含ascii字节“pk”，因此是pkplug。

在研究过程中，研究人员将其与6年前的攻击活动联系起来。关于PKKPUT的最终目标还不完全清楚，但是根据安装在目标系统上的后门木马，推断跟踪目标和收集信息是该组织目的之一。

受害者主要分布在亚洲东南沿海国家，尤其是缅甸、越南和印度尼西亚，在亚洲的其他地区也有出现，如**、新疆和蒙古。

目标分析

基于PKPULTE活动情况收集，受害者主要分布在南洋地区和周边地区。具体而言，目标国家(地区)/省份包括，缅甸和中国台湾，越南和印度尼西亚。亚洲其他地区的目标包括蒙古、**和新疆。

印度尼西亚、缅甸和越南是东盟成员国;蒙古，特别是独立国家，又称外蒙古;**和新疆是中国的自治区。该地区的进一步紧张可以归因于对南海的所有权要求，包括捕捞配额和尚未被证实的石油和天然气储量。

首次发现

2013年11月，Blue Brand实验室发布了一份报告，描述了攻击者使用Plurx恶意软件攻击蒙古目标的情况。与过去十年或更长时间里许多其他攻击一样，Blue Blue将DLL加载技术用于合法的、签名的应用程序来启动恶意有效负载，报告还记录了该组织利用Microsoft Office中的软件漏洞进行攻击的情况。

第二次发现

Abor于2016年4月发布的一份报告详细说明了近十二个月来缅甸和亚洲其他国家遭受恶意软件攻击情况。

他们注意到攻击者利用东盟成员国身份、经济和民主等相关话题的制作钓鱼邮件，dll加载也是此次攻击活动中恶意软件采用的加载方法。

第三次发现

Unit 42发表了一项研究，分析了通过谷歌硬盘传播的9002木马的网络攻击。

下载源于鱼叉式钓鱼邮件，其中包含一个短链接，在下载谷歌硬盘上的ZIP文件之前多次重定向。zip文件包含一个dll加载包，利用合法的播放器来加载9002木马。

第四次发现

2017年3月，研究人员发布了一份报告描述了香港网络安全公司VKRL检测到的攻击——通过日本GeurCube公司传播带有恶意URL的鱼叉式钓鱼邮件。恶意网站包含VBScript，从同一站点下载Word文档，以及PuffScript脚本。另外还发现一份针对蒙古的诱饵文件，诱骗目标下载恶意软件并通过Windows来执行恶意载荷。

第五次发现

在2018年初，研究人员发现了一个新的Android恶意软件家族，名为“Hebox”，该恶意家族活动可追溯到2015年底，现已经发现了400个样本。

HenBox经常伪装成合法的Android应用程序，其主要目标为Uyghurs，也将中国制造商小米制造的设备设为攻击目标。一旦安装HenBox，恶意软件将从设备上窃取个人信息，收集目标电话号码，访问设备麦克风和相机。

第六次发现

根据进一步的调查和围绕Henbox基础结构的分析，研究人员发现了一个以前未知的Windows木马Farseer，Farseer使用DLL加载技术来安装有效载荷。

查看更多资讯请关注bwmd下载站