中国骇客组织滥用Proxylogon漏洞，在Exchange服务器植入木马程式Thor

恶意软件也会改朝换代，攻击者改用新的名称且加入额外功能，而引起资安研究人员的注意。Palo Alto Networks在7月27日，在部落格上揭露他们新发现的RAT木马程式Thor，而这个恶意程式很可能就是名为PlugX的变种，背后发动攻击的是中国骇客组织Pkplug（亦称Mustang Panda、HoneyMyte）。

为何研究人员会察觉Thor？原因是该公司Exchange漏洞“Proxylogon”爆发的时候，监控相关攻击行动时，在3月19日发现来自IP地址101.36.120[.]227的骇客，在成功滥用Proxylogon入侵之后，上传网页壳层（Web Shell）到受害服务器，此网页壳层存放于可被外部读取的网页资料夹，并允许透过最高权限执行程式码。

接着，攻击者为了规避防毒软件的侦测，运用就地取材（Living Off the Land，LoL）的手法，透过Windows操作系统内建的BITSAdmin，从GitHub下载似乎是无害的Aro.dat，但实际上，研究人员反组译分析后发现，这个档案内含PlugX的变种。

那么，Aro.dat又为什么会看起来像是无害的？原因是攻击者特别在档案标头动了手脚：根据前1千个字元的内容，Palo Alto初步认为，这个档案有可能被加密处理，或是经过压缩，但在分析之后，该公司发现前999个字元其实是随机的资料，第1千个字元则是空值（NULL），做为程式判断实际档案内容的起始点。攻击者这么做的目的，就是为了躲避防毒软件的特征码侦测。

再者，Aro.dat与先前PlugX变种在运作方式雷同，无法直接执行，而是必须透过DLL侧载（DLL Side-Loading）才能运作。Palo Alto指出，他们透过静态分析得知，一旦Aro.dat载入到内存中，便会自动解密并启动与C2服务器的通讯。而Aro.dat解密过程中所采用的算法和XOR金钥，研究人员发现与过往的PlugX相当一致。

从Aro.dat程式码的行为来看，Palo Alto认为与2020年另一个中国骇客组织RedDelta所使用的PlugX非常相似。不过，这个DAT档案与过往的PlugX恶意软件存在一个显著的差异：在初始化外挂元件过程中的通关密语，Aro.dat是0x54484F52，转换成ASCII字元就是“THOR”，而其他的PlugX则是0x504C5547，转换成ASCII字元则是“PLUG”。而这也是研究人员称呼此变种PlugX为“Thor”的由来。

但Thor与骇客组织Pkplug的关连，又是如何发现？Palo Alto根据攻击者架设的基础设施来判断，找出两者之间的关连，且发现该组织部分基础设施使用的通关密语，已经改用“THOR”。该公司也依据相关基础设施研判，Pkplug很有可能在2019年8月就开始使用Thor。