研究人员详细介绍了网络间谍组织Earth Aughisky使用的恶意工具

一项新的研究详细描述了一个高级持久威胁（APT）组织使用的恶意软件工具集日益复杂的特性，该组织名为地球Aughisky.

Trend Micro上周在一份技术简介中透露：“在过去十年中，该集团一直在对位于台湾的特定目标以及最近的日本目标的工具和恶意软件部署进行调整”。

Earth Aughisky，也称为Taidoor，是一个网络间谍组织，以其滥用合法账户、软件、应用程序以及网络设计和基础设施中的其他弱点的能力而闻名。

尽管众所周知，中国威胁行为体主要针对台湾的组织，但2017年底观察到的受害模式表明，日本正在扩张。

最常见的垂直行业包括政府、电信、制造、重型、技术、运输和医疗。

该组织安装的攻击链通常利用矛式网络钓鱼作为一种进入方法，利用它部署下一阶段的后门。其主要工具是一个名为Taidoor（又名Roudan）的远程访问特洛伊木马。

该组织还与各种恶意软件家族有关联，如GrubbyRAT、K4RAT、LuckDLL、Serkdes、Taikite和Taleret，作为其不断更新其武器库以规避安全软件的一部分。

Earth Aughisky多年来采用的其他一些值得注意的后门如下-

• SiyBot，一个基本的后门，使用Gubb和30 Boxes等公共服务进行指挥和控制（C2）
• TWTRAT滥用了Twitter的C2直接消息功能
• DropNetClient（又名Buxzop），利用Dropbox API进行C2

Trend Micro根据源代码、域和命名约定的相似性将恶意软件菌株归因于威胁因素，分析还发现了它们之间的功能重叠。

这家网络安全公司还将Earth Aughisky的活动与另一个APT参与者联系起来，后者被空客代号为皮蒂虎(又名APT24)，因为在2014年4月至8月期间发生的多起攻击中使用的都是同一个投掷器。

2017年，该组织将目光投向了日本和东南亚，这一年也是自那以来袭击数量大幅下降的一个转折点。

尽管威胁行为人的寿命很长，但最近目标和活动的变化可能表明战略目标发生了变化，或者该组织正在积极改造其恶意软件和基础设施。

Trend Micro研究员CH Lei表示：“像Earth Aughisky这样的组织有足够的资源可供他们使用，使他们能够灵活地与他们的武器库相匹配，以长期实施网络间谍活动”。

“组织应将观察到的该组攻击的停机时间视为一个准备和警惕期，以防其再次活跃”。