{ "id": "d966d7a8-15c8-4b68-a069-646050f099eb", "created_at": "2026-04-06T00:22:27.997145Z", "updated_at": "2026-04-10T13:11:57.456863Z", "deleted_at": null, "sha1_hash": "4d2a889ed7776b47a5816895b7f3bedc76491848", "title": "中國駭客 HUAPI 的惡意後門程式 BiFrost 分析", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 611420, "plain_text": "中國駭客 HUAPI 的惡意後門程式 BiFrost 分析\r\nBy Global Support \u0026 Service\r\nPublished: 2020-04-15 · Archived: 2026-04-02 10:42:05 UTC\r\n關鍵字:HUAPI、PLEAD、GhostCat、CVE-2020-1938、Linux、BiFrost、RC4、RAT\r\n前言\r\nTeamT5 近期接獲情資,於台灣某學術網路的圖書館網站上發現存有惡意程式。經過 TeamT5 研究員分析\r\n調查發現,該網站系統使用 Tomcat 7.0.73 作為網頁伺服器且開啟 8009 通訊埠,TeamT5 研究員驗證網站\r\n具有 Ghostcat(CVE-2020-1938) 漏洞,詳見下圖。\r\n 圖一、Nmap 掃描結果\r\n駭客利用 Tomcat 網頁伺服器預設開啟的 AJP 服務(預設為 8009 通訊埠),可達到遠端指令執行\r\n(Remote Code Execution, RCE)之目的並上傳檔案。於該案例中,駭客疑似透過 Ghostcat 漏洞上傳\r\nBiFrost 惡意程式,使該圖書館系統成為惡意程式下載站(Download Site)。\r\n惡意程式分析\r\n該惡意程式(8fd3925dadf37bebcc8844214f2bcd18)於 2020 年 1 月 31 日被上傳至 Virustotal 平台,當時的\r\n各家防毒軟體的偵測率並不佳,僅有 6 家防毒軟體能夠有效識別,詳見下圖。\r\nhttps://teamt5.org/tw/posts/technical-analysis-on-backdoor-bifrost-of-the-Chinese-apt-group-huapi/\r\nPage 1 of 5\n\n圖二、惡意程式於一月底上傳至 VirusTotal 且一開始防毒軟體的偵測率並不佳\r\nTeamT5 取得該惡意後門程式並進行分析,該惡意後門程式檔名為 md.png,但檔案格式為 UNIX ELF 執行\r\n檔,推測是利用 PNG 副檔名偽裝在 Tomcat 網站伺服器上,詳見下圖。\r\n圖三、偽裝為 PNG 的 ELF 執行檔\r\n使用 TeamT5 的 ThreatSonar 惡意威脅鑑識系統可有效辨識出該惡意程式並可以偵測到中繼站 IP 位址\r\n(107.191.61.247),詳見下圖。\r\nhttps://teamt5.org/tw/posts/technical-analysis-on-backdoor-bifrost-of-the-Chinese-apt-group-huapi/\r\nPage 2 of 5\n\n圖四、ThreatSonar 偵測畫面\r\n經過逆向分析,該惡意後門程式具有上傳/下載/列舉/刪除/搬移檔案(File)、執行/結束程序\r\n(Process)、開啟/關閉遠端命令列介面程式(Remote Shell)等功能,其中惡意後門程式與中繼站的連線\r\n內容會使用修改過的 RC4 演算法進行加密,此專屬特徵可用來辯認出此惡意程式,詳見下圖。\r\nhttps://teamt5.org/tw/posts/technical-analysis-on-backdoor-bifrost-of-the-Chinese-apt-group-huapi/\r\nPage 3 of 5\n\n圖五、惡意後門程式使用\r\n修改後的 RC4 加密演算法\r\n攻擊族群分析\r\n該惡意程式為 Linux 版本的 BiFrost 後門程式,其版本號為 5.0.0.0。根據 TeamT5 長期研究的情資顯示,\r\n該惡意程式為中國駭客組織 HUAPI(又名為 PLEAD)慣用的後門程式。HUAPI 駭客組織自 2007 年開始\r\n活躍至今,攻擊台灣超過 10 年的時間。TeamT5 觀察到 HUAPI 所開發的惡意程式有時會使用加殼來阻擋\r\n研究人員分析,且通常會使用修改後的 RC4 演算法來加密傳輸。HUAPI 長期攻擊政府、高科技、電信或\r\n研究智庫單位,根據 TeamT5 的統計結果,超過 5 成的受害單位為政府機關,受害國家包含台灣、美國、\r\n日本及南韓,其中針對台灣政府機關進行入侵攻擊的為多。\r\nhttps://teamt5.org/tw/posts/technical-analysis-on-backdoor-bifrost-of-the-Chinese-apt-group-huapi/\r\nPage 4 of 5\n\n影響與建議\r\n若用戶有使用 Tomcat 服務作為網頁伺服器,且版本為以下之一者:\r\nApache Tomcat 9.x \u003c 9.0.31\r\nApache Tomcat 8.x \u003c 8.5.51\r\nApache Tomcat 7.x \u003c 7.0.100\r\nApache Tomcat 6.x\r\nTeamT5 建議需要立即進行版本更新,避免遭到駭客利用 Ghostcat 漏洞進行遠端控制,甚至上傳惡意檔\r\n案。\r\n另外,若用戶若遭遇針對性進階持續威脅(Advanced Persistent Threat, APT)時,則需要使用如 TeamT5\r\n的 ThreatSonar 惡意威脅鑑識系統,IT 管理者可以在最短時間內偵測並回應這類的惡意威脅。TeamT5 建\r\n議可將下方威脅指標(Indicator of Compromise, IOC)匯入到各式資安設備中偵測與識別威脅。\r\n107.191.61.247\r\n8fd3925dadf37bebcc8844214f2bcd18\r\nYara Rule\r\nrule RAT_BiFrost_UNIX\r\n{\r\n meta:\r\n description= \"HUAPI UNIX BiFrost RAT\"\r\n author = \"TeamT5\"\r\n date = \"2020-04-15\"\r\n \r\n strings:\r\n $hex1 = {25 ?? 00 00 00 85 C0 75 37 8B 45 F0 89 C1 03 4D 08 8B 45 F0 03 45 08 0F B6 10 8B 45 F8 01 C2\r\n $hex2 = {8B 45 F0 03 45 08 0F B6 00 30 45 FD 8B 45 F0 89 C1 03 4D 08 8B 45 F8 89 C2 02 55 FD B8 FF FF\r\n \r\n condition:\r\n all of them\r\n}\r\n外部參考資料\r\n1.\r\nSource: https://teamt5.org/tw/posts/technical-analysis-on-backdoor-bifrost-of-the-Chinese-apt-group-huapi/\r\nhttps://teamt5.org/tw/posts/technical-analysis-on-backdoor-bifrost-of-the-Chinese-apt-group-huapi/\r\nPage 5 of 5", "extraction_quality": 1, "language": "ZH", "sources": [ "Malpedia", "ETDA" ], "origins": [ "web" ], "references": [ "https://teamt5.org/tw/posts/technical-analysis-on-backdoor-bifrost-of-the-Chinese-apt-group-huapi/" ], "report_names": [ "technical-analysis-on-backdoor-bifrost-of-the-Chinese-apt-group-huapi" ], "threat_actors": [ { "id": "75024aad-424b-449a-b286-352fe9226bcb", "created_at": "2023-01-06T13:46:38.962724Z", "updated_at": "2026-04-10T02:00:03.164536Z", "deleted_at": null, "main_name": "BlackTech", "aliases": [ "CIRCUIT PANDA", "Temp.Overboard", "Palmerworm", "G0098", "T-APT-03", "Manga Taurus", "Earth Hundun", "Mobwork", "HUAPI", "Red Djinn", "Canary Typhoon" ], "source_name": "MISPGALAXY:BlackTech", "tools": [], "source_id": "MISPGALAXY", "reports": null } ], "ts_created_at": 1775434947, "ts_updated_at": 1775826717, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/4d2a889ed7776b47a5816895b7f3bedc76491848.pdf", "text": "https://archive.orkl.eu/4d2a889ed7776b47a5816895b7f3bedc76491848.txt", "img": "https://archive.orkl.eu/4d2a889ed7776b47a5816895b7f3bedc76491848.jpg" } }