美國司法部1月14日宣布,聯邦調查局(FBI)成功完成了一項大規模的網路安全行動,從全美超過4,200台電腦中移除了由中國APT駭客組織「Mustang Panda」(又稱Twill Typhoon)部署的PlugX惡意軟體。此行動代表針對高階持續性威脅(APT)之國際合作的又一次重要成功。
PlugX:多功能惡意軟體的滲透與威脅
PlugX是一種模組化的遠端存取木馬(RAT),以其隱蔽性與持續性著稱,長期被用於網路間諜與滲透活動。此次揭露的PlugX變種具有蠕蟲功能,可透過USB隨身碟快速傳播,感染範圍可迅速擴大至數千台設備。
此惡意軟體的攻擊目標反映出攻擊者的高精準策略,包括:
- 2024年針對歐洲航運業;
- 2021年至2023年攻擊多個歐洲政府機構;
- 全球範圍內的中國異見團體;
- 印太地區多國政府機構,包括台灣、香港、日本、印度、越南等地。
PlugX的活動展現了Mustang Panda精心策劃的網路間諜策略,並將目標範圍擴大至戰略性地區與行業,對國際網路安全構成嚴峻挑戰。
行動詳情:精準清除與多國合作
這次行動由法國執法機構與網路安全公司Sekoia於2024年7月率先發起。他們成功從法國感染設備中移除了PlugX,並於同年8月將行動範圍擴大至美國。FBI隨後獲得九份法院授權令,對美國境內感染設備進行清理。
FBI採取了精確的技術步驟來刪除PlugX,包含:
- 刪除惡意文件:清除PlugX在設備上創建的所有檔案;
- 移除自動啟動機制:刪除PlugX的相關註冊表鍵,阻止其自啟動;
- 徹底清理系統:執行腳本刪除PlugX應用程式及其殘留檔案與目錄。
行動於2025年1月3日結束,成功清除了超過4,258台受感染設備。FBI強調,該行動對設備功能與數據完整性未造成任何影響。
全球威脅應對典範
此次行動展現了國際網路安全合作的重要性。Sekoia於2024年4月接管PlugX的指揮與控制(C2)伺服器,監測到來自170個國家的2,500,000次連接,為行動提供了關鍵情報支持。
行動結束後,FBI正透過網路服務供應商通知受影響設備的擁有者,並重申行動僅限於刪除惡意軟體,未收集或干擾合法數據。
從PlugX中學到的啟示
PlugX案例展示了APT攻擊的複雜性與全球性,其威脅提醒所有企業與機構需採取以下措施:
- 提升威脅監測能力:部署能識別並阻止多層威脅的安全解決方案;
- 管控外部設備使用:限制USB與其他外部儲存設備的使用;
- 強化國際情報分享:參與跨國威脅情報合作,快速應對全球威脅;
- 提高員工安全意識:培訓員工識別APT技術與入侵方式,降低人為風險。
此次PlugX清除行動證明,高階威脅需要技術、法律與國際合作的全面應對。APT攻擊已超越單一國家的問題,成為全球數位生態共同面對的挑戰。唯有持續創新並深化合作,我們才能捍衛未來的網路安全。