Arbor Networks 揭露瞄准亚洲各国政府和非政府组织的多阶段攻击活动

Arbor Networks Inc.（系NETSCOUT安全部门，纳斯达克股票代码：NTCT）日前发布最新ASERT（Arbor安全工程响应小组）威胁智能感知报告，详细阐述了一场涉及各国政府网站和非政府组织的大型攻击活动。此次威胁活动涉及最新发现的一种名为“Trochilus”的远程访问木马(Remote Access Trojan (RAT))。据悉，Trochilus受东亚威胁分子的暗中支持。Trochilus是七大恶意软件集群的一部分，可为威胁分子提供一系列广泛功能，其中包括间谍活动以及在目标网络内横向移动以实现更具破坏性访问的各种手段。

这是Arbor安全工程响应小组(ASERT)在全球互联网上发现的首例Trochilus RAT。ASERT目前尚未发现任何公开发布的消息中提及针对性的威胁活动在使用这款恶意软件。

2015年，Arbor Networks和其他研究组织发现了PlugX和EvilGrab恶意软件将目标瞄准亚洲政府网站。在将初步调查结果送交区域级的计算机应急响应小组(CERT)之后，Arbor Networks还在相关网站中发现并删除了更多的恶意软件。新恶意软件在Arbor最初启动通知流程之后仍然涌现，这表明威胁活动仍在持续，威胁分子贼心不死且狡猾多变。除了更新Arbor产品中的安全策略以外，ASERT还定期与世界各地的威胁智能感知和事件响应社区、数百个国际CERT以及数千家网络运营商分享操作洞察。

这份ASERT威胁智能感知报告阐述了Trochilus恶意软件系列的简要发展史，概述了该恶意软件如何运行，并对整个威胁活动（其中包括PlugX、EvilGrab和9002 RAT恶意软件的部署）进行更深层次的技术分析。