TeamT5 杜浦數位發布最新研究,說明新興的模組化後門程式 Pangolin8RAT 與其關聯駭客團體。有鑑於後門程式模組化及多駭客團體共用的趨勢,TeamT5 威脅情資分析師 Silvia Yeh 與威脅情資研究員 Leon Chang 警示既有 APT 攻擊分析方法可能不再適合,企業組織宜運用多層次威脅情資,掌握駭客動態。
過去像是 PlugX、ShadowPad等模組化惡意軟體製作而成的木馬程式,常見於中國國家級支持的網路行動。自2020年中,TeamT5 偵測到模組化木馬程式 Pangolin8RAT 在亞太區域區域,有可能是前述模組化惡意軟體的後繼者。Pangolin8RAT 命名來自其 PDB string "pangolin" 和其 RTTI “p8rat”,該模組化特徵為可經由C2指令,進行DLL下載,而擴展功能。其早期版本支援8種通訊協定,包含 TCP, HTTPS, UDP, DNS, ICMP, HTTPSIPV6, WEB, SSH。
TeamT5 將使用 Pangolin8RAT 後門程式的駭客團體命名為「天吳」,為記載於《山海經》的八首人面怪獸。2020-2021年之間,該駭客團體鎖定線上娛樂產業、賭博業、資訊業、電信業、交通運輸業、政府單位、異議人士等,進行網路攻擊。
TeamT5 研究團隊並探索「天吳」與惡名昭彰的中國 APT 團體 Amoeba (別名 APT41)的關聯,兩者的相似性來自他們使用之模組化惡意程式結構、攻擊手法(TTPs)與攻擊範圍。
TeamT5 研究團隊並指出與中國關聯之多個駭客團體,針對亞太地區的線上博弈產業發起大規模攻擊。這波攻擊據除了獲取金錢利益,對產業的資料展現高度興趣,推測可能暗含中國政府蒐集資訊的動機,異於過去攻擊行動。
中國政府近年來限縮線上遊戲產業發展空間,如停發遊戲版號,及取締賭博產業,使賭博產業多轉為線上營運。而蓬勃發展、跨境經營的線上博弈產業遭受多個駭客團體攻擊,入侵手法精密,TeamT5 首席分析師李庭閣(Charles Li)與分析師張哲誠(Che Chang)指出這波駭客攻擊與中國政府的官方利益一致,使駭客可掌握參與玩家、業主等資料,背後策略與動機實屬不尋常。
駭客團體使用多種手法(TTPs)進攻,如於該產業招募員工的網站論壇收集資料,進一步採取魚叉式網路釣魚(spear phishing),鎖定客服人員,以抱怨系統為主旨釣魚信件,誘騙客服人員點擊附件;駭客團體也透過社群網站建立假帳戶,藉以接近目標公司的業務、工程師等。
駭客團體並利用各項漏洞,進行攻擊,如瀏覽器、VPN、NAS的漏洞;或採取供應鏈攻擊,從公司官網、ERP系統入侵至公司內部。
針對亞太地區的線上娛樂產業的網路攻擊事件中,攻擊者通常使用非市售的工具,或自行修改、研發工具,以達成攻擊目的。TeamT5 觀察的駭客團體中,SLIME29 的攻擊武器相較於其他團體,乃是為攻擊博奕產業特別製造;Amoeba (又稱 APT41)的攻擊武器也曾用於攻擊其他產業,同時也為博奕產業量身打造可協助他們長期控制目標之工具;此波攻擊中的其他駭客團體如 TianWu、Greedy Taotie、SLIME34 則無特別未博奕產業打造攻擊武器。
TeamT5 表示拆解中國駭客團體攻擊線上博弈產業的手法與背後動機,僅是協助企業了解最新趨勢的開端,後續動向值得關注。