Noll
En ny våg av it-angrepp slående USA, Sydkorea och Kanada har varit ansluten till ett APT-grupp med nära band till den Kinesiska militären.
På torsdag, it-säkerhet forskare från McAfee: s Avancerade Hot forskargrupp säger sig ha upptäckt en ny kampanj som fokuserar på cyberespionage och data spaning.
Sydkorea verkar vara det primära målet för kampanjen, som kallas “Operation Oceansalt,” med fem attackera vågor som lanserades i Maj mot organisationer i landet.
Gruppen använder en data spaning implantat som blev allvarligt intresse för forskare. Vid närmare undersökning upptäcktes det att implantatet är baserat på källkoden till Kommentar Besättning.
Även känd som APT1, Kommentera Crew är ett advanced persistent threat (APT) grupp med kopplingar till den Kinesiska militären. Hotet aktörer, som var aktiva från ungefär 2006 till 2010, lyckades slå över 140 OSS företag i strävan för känslig och immateriella data.
Koncernen förtjänat sitt namn genom sin användning av HTML-kommentarer för att dölja meddelande till command-and-control-servrar. Den vanliga angrepp var via spear phishing-kampanjer som använder e-post som innehöll dokument med namn som är skräddarsydda för potentiella offer, såsom “ArmyPlansConferenceOnNewGCVSolicitation.pdf” eller “Kinesisk Olja Verkställande Lärande Från Experience.doc.”
CNET: Stulna Apple-Id som används i sträng av digital betalning stölder i Kina, säger rapporten
Dessa skadliga handlingar som skulle innehålla skadlig kod nyttolaster för spridning av Trojan.Ecltys, Bakdörr.Barkiofork, och Trojan.Downbot, bland andra, för att cyberespionage.
Man tror att när den är aktiv, Kommentera Besättningen lyckades stjäla terabyte data.
De uppgifter som spaning implantat som används av Oceansalt återanvänder en del av koden från Seasalt malware implantatet, som forskarna säger är relaterade till Kommentar Crew ‘ s tidigare verksamhet.
“Oceansalt verkar vara den första etappen av en advanced persistent threat,” McAfee säger. “Det skadliga programmet kan skicka data system till en kontroll av server och köra kommandon på infekterade maskiner, men vi vet ännu inte dess yttersta syfte.”
McAfee säger att den senaste vågen av attacker blir hänförligt till Kommentar Besättningen är “osannolikt”, trots implantatet kod överlappar varandra, så det finns inga andra indikationer av grupper’ uppståndelse.
Det är att notera att källkoden Kommentar från Besättning till det bästa av vår kunskap, gjordes aldrig offentlig eller säljs online.
Som ett alternativt svar på frågan hur denna unika kod hamnade i händerna på en ny hacka gruppen, McAfee antyder att det kan vara en code-sharing uppgörelse mellan två grupper; en hacker på något sätt lyckats att få tillgång till källkoden från ett inifrån-spelare som en gång var en medlem av Kommentar Besättning — eller så kan detta vara en “false flag” operation för att lägga skulden på Kina.
TechRepublic: Undersökning: Hur har ditt företag hantera cyberwarfare och it-säkerhet?
Oceansalt s spear phishing kampanj sprider skadliga handlingar som inte har sett förut i hacking sfären. De dokument, Microsoft Word-och Excel-baserad, är skrivna på koreanska och mål i allmänhet koreansk-talande enheter eller personer.
Om en potentiell offret klick på dokument, den skadliga koden utlöser genom makron. Det skadliga programmet innehåller många av de funktioner som är typiska för övervakning inklusive möjligheten att exfiltrate data, kryptera den, och skicka det till ett kommando-och-kontroll (C2) server.
Dessutom Oceansalt innehåller liknande reverse-skal utförande till Seasalt.
Men en viktig skillnad är att medan Seasalt innehåller uthållighet mekanismer, Oceansalt inte.
Ett antal sydkoreanska webbplatser har äventyrats att vara värd för den skadliga koden.
APT verkar vara att inrikta sina ansträngningar på sydkoreanska finansiella enheter och, baserat på de handlingar som uppfattas av McAfee har en stark förståelse för landets finansiella system. Men areella näringarna har också varit riktade.
Se även: Noll dagar, fileless attacker är nu en av de farligaste hoten till företaget
“Dessa attacker kan vara ett förstadium till en mycket större angrepp som kan bli förödande med tanke på den kontroll angriparna har över sina infekterade offer”, McAfee säger. “Effekterna av dessa åtgärder kan vara stor: Oceansalt ger angripare fullständig kontroll över alla system som de klarar av att kompromissa och nätverk den är ansluten till. En bank nätverk skulle vara en särskilt lukrativ mål.”
Tidigare och relaterade täckning
GPU-Z nu varnar användare om de har köpt falska Nvidia-grafikkort som Skapare av remote access-verktyg LuminosityLink skickas bakom barer Hackare manipulera utnyttja kedja för att släppa Agent Tesla, kringgå antivirus lösningar
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0