【安全资讯】Earth Preta利用新恶意软件和策略升级攻击

概要：

Earth Preta组织最近升级了其攻击手段，采用了新型恶意软件和策略。此次攻击包括通过变种蠕虫HIUPAN传播PUBLOAD，并使用FDMTP和PTSOCKET等工具扩展控制和数据窃取能力。该组织的攻击具有高度针对性和时间敏感性，主要目标是亚太地区的政府实体。

主要内容：

Earth Preta组织在最近的攻击中，利用变种蠕虫HIUPAN通过可移动驱动器传播PUBLOAD。PUBLOAD作为主要控制工具，执行包括数据收集和数据窃取在内的多种任务。HIUPAN变种具有外部配置文件，便于传播和监控功能的配置。

在初始访问和传播阶段，Earth Preta通过鱼叉式网络钓鱼邮件传播PUBLOAD。HIUPAN变种通过可移动驱动器传播，安装在目标系统中并创建自动运行注册表项。HIUPAN的监控功能会定期检查是否有可移动驱动器插入，并将自身及其配置文件传播到驱动器中。

在网络发现、持久性和控制阶段，PUBLOAD执行系统信息收集以绘制当前网络图，并通过命令行工具执行数据收集和窃取。FDMTP作为次级控制工具，使用TouchSocket协议进行数据传输。PTSOCKET则用于多线程文件传输，增强了数据窃取能力。

Earth Preta还发起了快速的鱼叉式网络钓鱼活动，使用多阶段下载器DOWNBAIT和PULLBAIT，最终部署PLUGX恶意软件。攻击者利用微软云服务进行数据窃取，表明其攻击手段的复杂性和适应性。此次攻击主要针对亚太地区的政府实体，显示出Earth Preta组织在恶意软件部署和策略上的显著进步。