研究人员详细介绍了网络间谍组织 Earth Aughisky 使用的恶意工具

Hackernews 编译，转载请注明出处：

一项新的研究详细介绍了名为Earth Aughisky的高级持续性威胁（APT）组织使用的恶意软件工具集的复杂性质。

Trend Micro上周在一份技术资料中透露：“在过去十年中，该组织一直在对台湾以及最近针对日本特定目标的工具和恶意软件部署进行调整。”

Earth Aughisky，也被称为Taidoor，是一个网络间谍组织，以其滥用合法帐户、软件、应用程序以及网络设计和基础设施中的其他弱点的能力而闻名。

虽然中国的黑客主要针对台湾的组织，但2017年底观察到的受害者模式表明，其正在向日本扩张。

最常见的目标行业纵向市场包括政府、电信、制造业、重型、技术、运输和医疗。

该组织安装的攻击链通常利用鱼叉式网络钓鱼作为进入方法，用于部署下一阶段的后门。它的主要工具是一个名为Taidoor（又名Roudan）的远程访问木马。

该组织还与各种恶意软件家族有关，例如GrubbyRAT，K4RAT，LuckDLL，Serkdes，Taikite和Taleret，作为其不断更新武器库以规避安全软件尝试的一部分。

Earth Aughisky多年来使用的一些后门如下：

• SiyBot，一种基本的后门，使用Gubb和30 Boxes等公共服务进行命令和控制（C2）
• TWTRAT在C2上滥用了Twitter的直接消息功能
• DropNetClient（又名Buxzop），它利用了C2的Dropbox API

Trend Micro根据源代码、域和命名约定的相似性将恶意软件归因于黑客，分析还发现了它们之间的功能重叠。

这家网络安全公司还将Earth Aughisky的活动与另一名APT参与者联系起来，该参与者被空中客车公司命名为Pitty Tiger（又名APT24），原因是在2014年4月至8月发生的各种攻击中使用了相同的投掷器。

2017年，该组织将目光投向了日本和东南亚。从那以后，网络攻击的数量大幅下降。

最近目标和活动的转变可能表明战略目标发生了变化，或者该组织正在积极改进其恶意软件和基础设施。

Trend Micro研究人员CH Lei表示：“像Earth Aughisky这样的组织有充足的资源可供他们使用，使他们能够灵活应对长期实施网络间谍的武器库。”

该组织应关注此次攻击造成的停机时间，以防其再次活跃。

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文