Nul
En frisk bølge af cyberangreb slående USA, Sydkorea og Canada har været tilsluttet en af APT-gruppe med bånd til det Kinesiske militær.
På torsdag, cybersecurity forskere fra Mcafees Avancerede Trussel Forsknings-team, der sagde, at de har opdaget en ny kampagne, der fokuserer på cyberespionage og data rekognoscering.
Sydkorea ser ud til at være den primære målgruppe for kampagnen, døbt “Operation Oceansalt,” med fem angreb bølger lanceret i Maj mod organisationer i landet.
Gruppen bruger en data rekognoscering implantat, der blev alvorlig interesse for forskerne. Efter yderligere undersøgelse, blev det opdaget, at implantatet er baseret på kilde-kode Comment Crew.
Også kendt som APT1, Comment Crew er en advanced persistent threat (APT) gruppe med forbindelser til det Kinesiske militær. Truslen aktører, som var aktiv fra omkring 2006 til 2010 er lykkedes at finde mere end 140 selskaber i USA i søgen efter virksomhedernes følsomme og intellektuelle ejendom data.
Gruppen har fået deres navn gennem deres brug af HTML-kommentarer, til at skjule meddelelse til command-and-control-servere. Den sædvanlige angreb var via spear phishing-kampagner udnytte e-mails, der indeholdt dokumenter med navne, der er skræddersyet til de potentielle ofre, såsom “ArmyPlansConferenceOnNewGCVSolicitation.pdf” eller “Kinesiske Olie-Executive-Læring Fra Experience.doc.”
CNET: Stjålne Apple-id ‘ er, der anvendes i streng af digital betaling tyverier i Kina, siger rapport
Disse ondsindede dokumenter, der indeholder malware nyttelast for spredning af Trojanske.Ecltys, Bagdør.Barkiofork, og Trojan.Downbot, blandt andet med henblik på cyberespionage.
Det menes, at når de er aktive, Kommentar Besætning formået at stjæle terabytes af data.
Data rekognoscering implantat, der anvendes af Oceansalt genbruger en del af koden fra Seasalt malware implantat, som forskerne siger, er relateret til Kommentar Crew ‘ s tidligere operationer.
“Oceansalt ser ud til at være den første fase af en advanced persistent threat,” siger McAfee. “Malware kan sende data til en kontrol-server og udføre kommandoer på inficerede maskiner, men vi kender endnu ikke dens ultimative formål.”
McAfee siger, at den seneste bølge af angreb bliver tilskrives Kommentar Besætningen er “usandsynligt”, og til trods implantat kode overlapper hinanden, så der ikke er andre betegnelser for grupperne’ opstandelse.
Det er værd at bemærke, at kildekoden Kommentar fra Besætningen, at de bedste af vores viden, blev aldrig offentliggjort eller solgt online.
Som et alternativ besvarelse af, hvordan dette unikke kode endte i hænderne på en ny hacking gruppe, McAfee tyder på, at der kan være en kode aftale om deling mellem de to grupper; en hacker på en eller anden måde formået at få adgang til kildekoden fra et inside spiller, der var engang medlem af Kommentar Crew-eller det kan være en “false flag” operation til at lægge skylden på Kina.
TechRepublic: Undersøgelse: Hvordan har din virksomhed håndtere cyberwarfare og cybersecurity?
Oceansalt ‘ s spear phishing-kampagne, der spreder skadelige dokumenter, som ikke er set før i hacking rige. De dokumenter, Microsoft Word-og Excel-baseret, er skrevet på koreansk og generelt mål koreansk-talende enheder eller enkeltpersoner.
Hvis en potentiel offeret klikker på dokumentet, det ondsindet payload udløser gennem makroer. Den malware, der indeholder mange af de funktioner, der typisk overvågning, herunder evnen til at exfiltrate data, kryptere det, og sende det til en command-and-control (C2) – server.
Hertil kommer, at Oceansalt indeholder lignende reverse-shell udførelse kapaciteter til at Seasalt.
Dog, en stor forskel er, at mens Seasalt indeholder vedholdenhed mekanismer, Oceansalt ikke.
En række sydkoreanske hjemmesider er blevet kompromitteret til at være vært for den skadelige kode.
APT synes at være at fokusere sin indsats på de sydkoreanske finansielle enheder, der er baseret på dokumenter, der vises af McAfee, har en stærk forståelse af landets finansielle systemer. Men jordbrugserhvervene er også blevet rettet.
Se også: Nul-dage, fileless angreb er nu den mest farlige trusler mod virksomheden
“Disse angreb kan være en forløber til et meget større angreb, som kunne være ødelæggende får kontrol angriberne har over deres inficerede ofre,” siger McAfee. “Effekten af disse operationer kan være stor: Oceansalt giver hackere fuld kontrol med ethvert system, de formår at gå på kompromis og det netværk, du er tilsluttet. En bank ‘ s netværk ville være en særlig lukrative mål.”
Tidligere og relaterede dækning
GPU-Z nu advarer brugere, hvis de har købt falske Nvidia grafik kort Skaberen af fjernadgang værktøj LuminosityLink sendt bag tremmer Hackere at manipulere med at udnytte kæde til at droppe Agent Tesla, omgå antivirus løsninger
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0