‘Operation Oceansalt’ Delivers Wave After Wave
至少根據CISSP專業認證提供的建議,一條8英尺高,有三股鐵絲網的牆被認為足以阻止確定的入侵者。儘管物理控制可以成為多方面防禦的一部分,但是電子攻擊可以讓對手有時間開發必要的工具來繞過任何邏輯牆。在邁克菲高級威脅研究團隊的最新調查結果中,我們研究了一個對單個廣告系列不滿意的對手,但針對其各自的目標推出了五個不同的攻擊。新報告“Oceansalt使用中國駭客集團的源代碼攻擊韓國,美國和加拿大” 分析這些海浪及其受害者,主要是在韓國,但在美國和加拿大只有少數人。 儘管一種反應是對威脅行為者所展示的創新水平感到驚訝,但我們並未討論五種新的,前所未見的惡意軟體變種 - 而是重複使用8年前看到的植入代碼。Oceansalt惡意軟體使用來自Seasalt植入物的大部分代碼,這些代碼與中國駭客組織Comment Crew相關聯。重用程度如下圖所示: 近期海洋鹽與舊海鹽的代碼可視化
Oceansalt,2018。
Seasalt,2010。 誰是海洋攻擊背後的人?評論團最初獲得APT1稱號,被視為惡意行為者近10年前對美國進行攻擊性網路行動。顯而易見的嫌疑人是評論員,雖然這似乎是一個合乎邏輯的結論,但我們還沒有看到任何活動,因為他們最初暴露。這個團體是否有可能返回,如果是這樣,為什麼要以韓國為目標? Comment Crew開發的源代碼現在可能已被另一個對手使用。然而,我們所知的代碼從未公開過。或者,這可能是一個“假旗”操作,表明我們正在看到評論團的重新出現。創建虛假標誌是一種常見做法。 真正重要的是什麼對這項研究的反應可能會集中於辯論威脅行為者的身份。儘管這個問題引起了極大的興趣,但回答這個問題需要的不僅僅是私營企業可以提供的技術證據。這些限制令人沮喪。但是,無論這些攻擊的來源如何,我們都可以關注本報告中提出的妥協指標,以檢測,糾正和保護我們的系統。 或許更重要的是先前潛在的惡意攻擊者可能會回歸,而且,為什麼這場競選活動現在應該發生?無論這是否是一個虛假的旗幟操作來暗示評論船員的重生,這次攻擊的影響是未知的。但是,有一件事是肯定的。與之前的研究一樣,威脅行為者可以利用大量代碼來利用新的活動來自Advanced Threat Research的團隊透露。在這種情況下,我們看到協作不在一個組內,但可能與另一個威脅行為者 - 提供更多的惡意資產。我們經常談論私營和公共部門內部的伙伴關係,這是解決社會面臨的網路安全挑戰的關鍵。糟糕的行為者並沒有將這些舉措放在PowerPoint幻燈片和營銷材料上; 他們表明,夥伴關係也可以滿足他們的目的。 資料來源:https://securingtomorrow.mcafee.com/mcafee-labs/operation-oceansalt-delivers-wave-after-wave/ |
