【安全资讯】Earth Preta网络武器库扩展：新恶意软件和策略瞄准亚太政府

概要：

Trend Micro最新报告显示，臭名昭著的网络间谍组织Earth Preta显著进化了其战术和恶意软件武器库，对亚太地区政府实体构成了更大的威胁。Earth Preta最新的攻击活动中，最显著的变化是使用基于蠕虫的攻击，这些攻击通过修改后的HIUPAN蠕虫传播。

主要内容：

Earth Preta的最新攻击活动中，HIUPAN蠕虫通过可移动驱动器传播，成为PUBLOAD这一主要控制工具的入口。HIUPAN会自动复制到任何插入的可移动媒体上，隐藏其恶意文件并诱使用户触发其负载。与之前的版本不同，新版HIUPAN更易于配置，利用外部配置文件传播文件并保持持久性。该蠕虫的看门狗功能检查热插拔驱动器，确保其持续传播并在网络中传递PUBLOAD恶意软件。

PUBLOAD在Earth Preta的操作中扮演关键角色，执行网络发现和数据收集命令。它利用标准命令行工具如whoami和ipconfig收集网络详情并建立控制，还会传递额外的恶意软件组件如FDMTP和PTSOCKET。FDMTP是一个新发现的下载器，使用基于TouchSocket的双工消息传输协议下载和执行额外的恶意软件。PTSOCKET是一个定制工具，用于多线程文件传输，从受感染系统中窃取敏感数据。

Earth Preta的数据窃取操作主要使用RAR压缩和归档敏感文件，然后传输到攻击者控制的服务器。虽然之前通过传统FTP进行窃取，但Earth Preta现已整合PTSOCKET以进行更隐蔽的文件传输。Earth Preta还显著改进了其鱼叉式网络钓鱼方法，最近的攻击活动中，包含.url附件的电子邮件部署了DOWNBAIT，这一签名下载器和加载器工具执行一系列感染，最终安装CBROVER和PLUGX后门，促进数据收集。Earth Preta的攻击活动高度集中于特定政府部门，包括外交事务、执法和军事机构，目标国家包括缅甸、菲律宾、越南、新加坡、柬埔寨和台湾。