研究人员详细介绍了网络间谍组织地球水马使用的恶意工具

一项新的研究详细说明了一个名为地球水马(传说生物)的高级持续威胁( APT )小组所使用的恶意软件工具集的日益复杂的性质。

趋势科技上周在一份技术简报中披露，过去10年来，该集团在针对台湾和日本特定目标的工具和恶意软件部署方面不断做出调整。

地球水马(传说生物)，又称Taidoor，是一个网络间谍组织，以其在网络设计和基础设施中滥用合法账户、软件、应用程序和其他弱点为己任而闻名。

中国的威胁行为者主要是在台湾的目标组织，但在2017年下半年观察到的受害者模式表明了对日本的扩张。

最常见的目标行业包括政府、电信、制造、重型、技术、运输和医疗保健。

该组安装的攻击链通常利用鱼叉式钓鱼作为入口方法，使用它来部署下一阶段的后门。它的主要工具是一个名为Taidoor (又名Roudan )的远程访问特洛伊木马。

该集团还与各种恶意软件家族联系在一起，如GrubbyRAT、K4RAT、LuckDLL、Serkdes、Taikite和Taleret，作为其不断更新其武库以逃避安全软件的一部分。

地球水马(传说生物)多年来使用的其他一些值得注意的后门如下：

 ·  SiyBot是一个基本的后门，它使用Gubb和30 Boxes等公共服务进行命令和控制( C2 )。

 ·  TWTRAT滥用Twitter对C2的直接消息功能

 ·  DropNetClient (又名Buxzop )，它利用了Dropbox API for C2

 Trend Micro将恶意软件菌株归因于威胁攻击者，基于源代码、域和命名约定的相似性，分析还揭示了它们之间的功能重叠。

该网络安全公司还将地球水马(传说生物)的活动与空客的另一个APT行为者联系在一起，因为在2014年4月至8月期间发生的各种袭击中使用了相同的投掷物。

 2017年，该集团将目光投向日本和东南亚的一年，也是袭击量自那时以来出现明显下降的拐点。

尽管威胁行为者的活动时间很长，但最近目标和活动的转变可能意味着战略目标的改变，或者该集团正在积极改造其恶意软件和基础设施。

此趋势研究人员CH Lei说，”地球水马(传说生物)等群体拥有足够的资源，使他们能够灵活地将其武库与长期实施网络间谍活动相匹配。“

“组织应该考虑从这个群体的攻击中观察到的停机时间，作为准备和警惕的时期，因为它再次变得活跃。”