根据McAfee的高级威胁研究团队的一份报告,美国和加拿大似乎是韩国瞄准组织的间谍活动,与中国黑客集团APT1或评论机组人员一起使用的吉祥链接。
然而,在六个月的调查之后,研究人员尚未考虑看到的间谍活动 - 被称为运行OceanSalt - 意味着APT1回归业务或是否表明与新的,未知的攻击者组成某种代码分享协议。
“这项研究代表了在内的威胁行为者,包括国家国家可能会对他们的竞选活动合作,”报告称。
或者,谁负责运营OceanSalt的人以某种方式获得了对源代码的访问,这从未公开过,或者故意使用它作为虚假旗帜,以指向基于中国的黑客或暗示中朝鲜之间的合作。
最新的运动使用2006年至2010年广告系列的APT1中使用的数据侦察植入物的更新版本,而超过140家美国公司,称为操作Seasalt。
研究人员认为只能通过访问原始源代码来创建新版本,这已经修改为使恶意软件更能避免检测。
研究人员说,这种行为符合其他国家国家运营,该行为倾向于回收和发展代码。
根据研究报告,海洋夏令人在五次攻击“波浪”中,适应其目标。第一个和第二波是基于矛网络钓鱼,并开始于2018年5月创建的恶意韩语Microsoft Excel文件,该文件充当植入物的下载器。
Excel文件包含了LED McAfee研究人员认为目标的信息与韩国公共基础设施项目相关联。在所有恶意文档中,嵌入式宏用于联系下载服务器并将OceanSalt注入到磁盘。
连接后,植入物被设计为发送目标机器的IP地址和计算机名称,以及植入物的文件路径。
第三波使用了一个Microsoft Word文件,将与同一元数据和作者作为Excel文件,并包含与韩国间合作基金的财务相关的虚假信息。
由于攻击者扩大了他们的范围,因此浪潮四个和五个确定了韩国以外的少数目标,包括美国和加拿大。
研究人员表示,虽然植入物明确设计用于间谍目的,使攻击者能够进行远程代码执行以及编写和删除文件,但竞选活动的整体目标仍然不明确。
在报告中,研究人员认为五个波可能是前体的可能性更大的攻击,因为它们已经完全控制受感染的机器。
研究人员说,欧海猿设计旨在让攻击者完全控制任何损害的系统,并将其附加到它所附的网络。
“这项研究代表了威胁演员如何彼此不断地学习,并在同行最大的创新上建立,”迈克菲的首席科学家Raj Samani说。
“McAfee专注于报告中介绍的妥协指标,以检测,正确和保护系统,无论这些攻击的来源如何,试图保护所有潜在的目标组织。”
将OceanSalt描述为“主要威胁活动”的Samani表示,该研究团队决定在过去六周通知有针对性的组织后,将公众提供给其他可能有针对性的组织的IOC。他们还通知国际执法机构,以确保报告不会影响目前的刑事调查。
“可能有其他组织有针对性的,我们在我们的调查中没有遇到过,所以值得检查我们所识别的IOC,”Samani说。“如果有任何命中,我会向有关组织建议进行调查,因为竞选可能仍然有效。”
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。