Eine neue Studie zeigt, dass das Malware-Toolset einer APT-Gruppe (Advanced Persistent Threat) namens Earth Aughisky immer ausgefeilter wird.
„In den letzten zehn Jahren hat die Gruppe immer wieder Anpassungen an den Werkzeugen und der Malware vorgenommen, um bestimmte Ziele in Taiwan und seit kurzem auch in Japan anzugreifen“, so Trend Micro letzte Woche in einem technischen Profil.
Earth Aughisky, auch bekannt als Taidoor, ist eine Cyberspionagegruppe, die dafür bekannt ist, dass sie legitime Konten, Software, Anwendungen und andere Schwachstellen im Netzwerkdesign und in der Infrastruktur für ihre Zwecke missbrauchen kann.
Während der chinesische Bedrohungsakteur dafür bekannt ist, vor allem Organisationen in Taiwan ins Visier zu nehmen, deuten die gegen Ende 2017 beobachteten Viktimologie-Muster auf eine Ausweitung nach Japan hin.
Zu den am häufigsten ins Visier genommenen Branchen gehören Regierung, Telekommunikation, Fertigung, Schwerindustrie, Technologie, Transport und Gesundheitswesen.
Die Angriffsketten der Gruppe nutzen in der Regel Spear-Phishing als Einstiegsmethode, um die nächste Stufe der Hintertür zu öffnen. Zu den wichtigsten Werkzeugen gehört ein Fernzugriffstrojaner namens Taidoor (auch bekannt als Roudan).
Die Gruppe wird auch mit einer Reihe von Malware-Familien in Verbindung gebracht, wie z. B. GrubbyRAT, K4RAT, LuckDLL, Serkdes, Taikite und Taleret.
Einige der anderen bemerkenswerten Backdoors, die Earth Aughisky im Laufe der Jahre eingesetzt hat, sind folgende
SiyBot, eine einfache Hintertür, die öffentliche Dienste wie Gubb und 30 Boxen für Command-and-Control (C2) nutzt
TWTRAT, das die Direktnachrichtenfunktion von Twitter für C2 missbraucht
DropNetClient (alias Buxzop), der die Dropbox-API für C2 ausnutzt
Trend Micro ordnet die Malware-Stämme dem Bedrohungsakteur zu, weil sie sich im Quellcode, in den Domänen und in den Namenskonventionen ähneln und weil die Analyse auch funktionale Überschneidungen zwischen ihnen aufdeckt.
Das Cybersecurity-Unternehmen brachte die Aktivitäten von Earth Aughisky auch mit einem anderen APT-Akteur mit dem Codenamen Pitty Tiger (auch bekannt als APT24) in Verbindung, der denselben Dropper bei verschiedenen Angriffen zwischen April und August 2014 verwendet hat.
2017, das Jahr, in dem die Gruppe Japan und Südostasien ins Visier nahm, war auch ein Wendepunkt, da das Volumen der Angriffe seither deutlich zurückgegangen ist.
Trotz der Langlebigkeit des Bedrohungsakteurs deutet die jüngste Verschiebung der Ziele und Aktivitäten wahrscheinlich auf eine Änderung der strategischen Ziele hin oder darauf, dass die Gruppe ihre Malware und Infrastruktur aktiv überarbeitet.
„Gruppen wie Earth Aughisky verfügen über ausreichende Ressourcen, die es ihnen ermöglichen, ihr Arsenal für langfristige Cyberspionageeinsätze anzupassen“, so Trend Micro-Forscher CH Lei.
„Unternehmen sollten die beobachtete Auszeit von den Angriffen dieser Gruppe als eine Zeit der Vorbereitung und Wachsamkeit betrachten, wenn sie wieder aktiv wird.“