研究人员详细介绍了网络间谍组织 Earth Aughisky 使用的恶意工具

一项新的研究详细介绍了名为Earth Aughisky的高级持续威胁 (APT) 组织所使用的恶意软件工具集的日益复杂的性质。

“在过去十年中，该组织继续对位于台湾以及最近在日本的特定目标的工具和恶意软件部署进行调整，”趋势科技上周在一份技术简介中披露。

Earth Aughisky，也称为Taidoor，是一个网络间谍组织，以滥用合法帐户、软件、应用程序和网络设计和基础设施中的其他弱点为自己目的的能力而闻名。

虽然众所周知，中国威胁行为者主要针对台湾的组织，但在 2017 年底观察到的受害者模式表明其已扩展到日本。

最常见的垂直行业包括政府、电信、制造、重型、技术、运输和医疗保健。

该组织安装的攻击链通常利用鱼叉式网络钓鱼作为一种进入方法，使用它来部署下一阶段的后门。它的主要工具是一个名为Taidoor（又名 Roudan）的远程访问木马。

该组织还与各种恶意软件家族有关，例如 GrubbyRAT、K4RAT、LuckDLL、Serkdes、Taikite 和 Taleret，作为其不断更新其武器库以逃避安全软件的尝试的一部分。

Earth Aughisky 多年来使用的其他一些值得注意的后门如下：

• SiyBot，一个基本的后门，它使用 Gubb 和 30 Boxes 等公共服务进行命令和控制 (C2)
• TWTRAT，滥用 Twitter 的 C2 直接消息功能
• DropNetClient（又名 Buxzop），它利用 C2 的 Dropbox API

趋势科技将恶意软件菌株归因于威胁行为者是基于源代码、域和命名约定的相似性，分析还揭示了它们之间的功能重叠。

这家网络安全公司还将 Earth Aughisky 的活动与空客代号为Pitty Tiger（又名APT24）的另一位 APT 参与者联系起来，因为在 2014 年 4 月至 8 月期间发生的各种攻击中使用了相同的投递器。

2017 年是该组织将目光投向日本和东南亚的一年，也是自那时以来攻击量显着下降的转折点。

尽管威胁行为者的寿命很长，但最近目标和活动的转变可能表明战略目标发生了变化，或者该组织正在积极改造其恶意软件和基础设施。

趋势科技研究员 CH Lei 说：“像 Earth Aughisky 这样的组织有足够的资源可供他们使用，这使他们能够灵活地匹配他们的武器库，以长期实施网络间谍活动。”

“组织应将观察到的该组织攻击造成的停机时间视为准备和警惕它何时再次活跃的时期。”