Oceansalt行动研究揭示了针对韩国,美国和加拿大的网络攻击

迈克菲发布了一份报告,宣布发现了针对韩国,美国和加拿大的新的网络间谍活动。新的活动使用的是一个数据侦察植入物,该植入物最近被黑客组织APT1或Comment Crew所使用,该组织隶属于中国军方,被指控在2006年至2010年间对超过141家美国公司发起了网络攻击。

海洋盐行动

尚未确定此新运动的参与者;但是,他们重用了2010年最后一次发表在评论员克鲁(Comment Crew)身上的植入代码,后者对美国称为“海盐行动”(Operation Seasalt)进行了进攻性网络行动。 迈克菲将新的活动命名为Operation Oceansalt,是基于它与Seasalt的相似之处。

报告“使用中国黑客组织提供的源代码攻击海洋盐攻击韩国,美国和加拿大”的建议表明,除非开发者能够直接访问Comment Crew的2010 Seasalt源代码,否则不可能开发Oceansalt植入物。但是,McAfee的Advanced Threat Research团队没有发现任何证据表明Comment Crew的源代码曾经公开过,这引起了由谁最终负责Oceansalt的问题。

迈克菲(McAfee)发现Oceansalt是根据目标进行的五次攻击“波”发射的。攻击的第一波和第二波基于鱼叉捕鱼,始于2018年5月创建并保存的恶意韩文Microsoft Excel文档,充当植入物的下载器。

Excel文件由名为“ Lion”的用户创作,包含使McAfee相信目标与韩国公共基础设施项目有关的信息。第三轮恶意文档,这一次是在Microsoft Word中,其携带的元数据和作者与Excel文档相同。 Word文档包含与朝韩合作基金财务有关的虚假信息。随着攻击者扩大范围,第四浪和第五浪确定了韩国境外的少数目标,包括美国和加拿大。

至于影响和影响,鉴于攻击者对其受感染受害者的控制权,这些攻击可能是大规模攻击的先兆。 Oceansalt使攻击者可以完全控制他们设法破坏的任何系统以及该系统所连接的网络。鉴于与其他威胁行为者的潜在合作,相当多的资产已经开放并可供采取行动。

“这项研究代表了威胁行为者如何不断相互学习,并基于同行的最大创新成果,” 拉杰·萨马尼(Raj Samani),McAfee首席科学家。最终由谁来负责Oceansalt袭击,并不是在推销他们的计划,而是在采取行动,将袭击变为现实。不管这些攻击的来源如何,McAfee都专注于本报告中提出的危害指标,以检测,纠正和保护系统。

分享这个