McAfee研究人员发现“重要”间谍活动

根据McAfee的高级威胁研究团队的一份报告，美国和加拿大似乎是韩国瞄准组织的间谍活动，与中国黑客集团APT1或评论机组人员一起使用的吉祥链接。

然而，在六个月的调查之后，研究人员尚未考虑看到的间谍活动 - 被称为运行OceanSalt - 意味着APT1回归业务或是否表明与新的，未知的攻击者组成某种代码分享协议。

“这项研究代表了在内的威胁行为者，包括国家国家可能会对他们的竞选活动合作，”报告称。

或者，谁负责运营OceanSalt的人以某种方式获得了对源代码的访问，这从未公开过，或者故意使用它作为虚假旗帜，以指向基于中国的黑客或暗示中朝鲜之间的合作。

最新的运动使用2006年至2010年广告系列的APT1中使用的数据侦察植入物的更新版本，而超过140家美国公司，称为操作Seasalt。

研究人员认为只能通过访问原始源代码来创建新版本，这已经修改为使恶意软件更能避免检测。

研究人员说，这种行为符合其他国家国家运营，该行为倾向于回收和发展代码。

根据研究报告，海洋夏令人在五次攻击“波浪”中，适应其目标。第一个和第二波是基于矛网络钓鱼，并开始于2018年5月创建的恶意韩语Microsoft Excel文件，该文件充当植入物的下载器。

Excel文件包含了LED McAfee研究人员认为目标的信息与韩国公共基础设施项目相关联。在所有恶意文档中，嵌入式宏用于联系下载服务器并将OceanSalt注入到磁盘。

连接后，植入物被设计为发送目标机器的IP地址和计算机名称，以及植入物的文件路径。

第三波使用了一个Microsoft Word文件，将与同一元数据和作者作为Excel文件，并包含与韩国间合作基金的财务相关的虚假信息。

由于攻击者扩大了他们的范围，因此浪潮四个和五个确定了韩国以外的少数目标，包括美国和加拿大。

研究人员表示，虽然植入物明确设计用于间谍目的，使攻击者能够进行远程代码执行以及编写和删除文件，但竞选活动的整体目标仍然不明确。

在报告中，研究人员认为五个波可能是前体的可能性更大的攻击，因为它们已经完全控制受感染的机器。

研究人员说，欧海猿设计旨在让攻击者完全控制任何损害的系统，并将其附加到它所附的网络。

“这项研究代表了威胁演员如何彼此不断地学习，并在同行最大的创新上建立，”迈克菲的首席科学家Raj Samani说。

“McAfee专注于报告中介绍的妥协指标，以检测，正确和保护系统，无论这些攻击的来源如何，试图保护所有潜在的目标组织。”

将OceanSalt描述为“主要威胁活动”的Samani表示，该研究团队决定在过去六周通知有针对性的组织后，将公众提供给其他可能有针对性的组织的IOC。他们还通知国际执法机构，以确保报告不会影响目前的刑事调查。

“可能有其他组织有针对性的，我们在我们的调查中没有遇到过，所以值得检查我们所识别的IOC，”Samani说。“如果有任何命中，我会向有关组织建议进行调查，因为竞选可能仍然有效。”