A McAfee anunciou um relatório de descoberta de uma nova campanha de espionagem cibernética que tem como alvo a Coreia do Sul, os Estados Unidos e o Canadá. A nova campanha utiliza a mesma técnica de reconhecimento de dados utilizado pela última vez em 2010, na época conhecida como SEASALT, pelo grupo de hackers APT1 ou Comment Crew, afiliado ao exército chinês acusado de empreender ataques cibernéticos contra mais de 141 empresas americanas de 2006 a 2010.
Os agentes dessa nova campanha não foram identificados. No entanto, eles reutilizaram o código de implantes usados pela última vez em 2010 pelo Comment Crew, que conduziu as operações ofensivas cibernéticas contra os EUA, conhecidas como “Operação Seasalt”. A nova campanha, que a McAfee batizou de “Operação Oceansalt”, destaca-se por sua semelhança com a Seasalt.
O relatório “Operação Oceansalt ataca Coreia do Sul, EUA e Canadá com código-fonte de grupo de hackers chinês”, sugere que o desenvolvimento do implante da Oceansalt não teria sido possível a menos que os agentes responsáveis tivessem acesso direto ao código-fonte da Seasalt de 2010 do Comment Crew. Entretanto, a equipe do McAfee Advanced Threat Research não encontrou evidências de que o código-fonte do Comment Crew tenha sido publicado em nenhum momento, levantando a questão de quem é o verdadeiro responsável pela Oceansalt.
A McAfee descobriu que a Oceansalt foi empregada em cinco “ondas” de ataque adaptadas aos respectivos alvos. A primeira e segunda onda de ataques usaram técnicas de spear-phishing e começaram com um documento malicioso do Microsoft Excel no idioma coreano criado e salvo em maio de 2018, atuando como downloaders do implante. Criado por um usuário chamado “Lion”, o arquivo do Excel continha informações que levam a McAfee a crer que os alvos estavam relacionados a projetos de infraestrutura pública da Coreia do Sul.
Uma terceira rodada de documentos maliciosos, desta vez do Microsoft Word, apresentava os mesmos metadados e autor que os documentos do Excel. O documento do Word continha informações falsas relacionadas às finanças do Fundo de Cooperação Intercoreano. As ondas quatro e cinco identificaram um pequeno número de alvos fora da Coreia do Sul, incluindo os EUA e o Canadá, à medida que os atacantes expandiram seu escopo.
Quanto às implicações e ao impacto, esses ataques podem ser um precursor de um ataque muito maior, considerando o controle que os atacantes têm sobre as vítimas infectadas. A Oceansalt dá aos atacantes controle total sobre qualquer sistema que eles consigam comprometer, bem como sobre a rede à qual o sistema está conectado. Dada uma possível colaboração com outros agentes de ameaça, há um número consideravelmente maior de ativos abertos e disponíveis para aproveitamento.
“Esta pesquisa mostra como os agentes de ameaça estão constantemente aprendendo uns com os outros e aproveitando as maiores inovações feitas por outros criminosos”, afirma Raj Samani, cientista-chefe da McAfee. “Quem quer que seja o responsável pelo ataque Oceansalt não está comercializando suas iniciativas, mas sim agindo e realizando ataques. A McAfee está se concentrando nos indicadores de comprometimento apresentados neste relatório para detectar, corrigir e proteger os sistemas, independentemente da origem dos ataques.”
Nova campanha de ciberespionagem usa código-fonte de grupo de hackers chinês
Compartilhar:
A McAfee anunciou um relatório de descoberta de uma nova campanha de espionagem cibernética que tem como alvo a Coreia do Sul, os Estados Unidos e o Canadá. A nova campanha utiliza a mesma técnica de reconhecimento de dados utilizado pela última vez em 2010, na época conhecida como SEASALT, pelo grupo de hackers APT1 ou Comment Crew, afiliado ao exército chinês acusado de empreender ataques cibernéticos contra mais de 141 empresas americanas de 2006 a 2010.
Os agentes dessa nova campanha não foram identificados. No entanto, eles reutilizaram o código de implantes usados pela última vez em 2010 pelo Comment Crew, que conduziu as operações ofensivas cibernéticas contra os EUA, conhecidas como “Operação Seasalt”. A nova campanha, que a McAfee batizou de “Operação Oceansalt”, destaca-se por sua semelhança com a Seasalt.
O relatório “Operação Oceansalt ataca Coreia do Sul, EUA e Canadá com código-fonte de grupo de hackers chinês”, sugere que o desenvolvimento do implante da Oceansalt não teria sido possível a menos que os agentes responsáveis tivessem acesso direto ao código-fonte da Seasalt de 2010 do Comment Crew. Entretanto, a equipe do McAfee Advanced Threat Research não encontrou evidências de que o código-fonte do Comment Crew tenha sido publicado em nenhum momento, levantando a questão de quem é o verdadeiro responsável pela Oceansalt.
A McAfee descobriu que a Oceansalt foi empregada em cinco “ondas” de ataque adaptadas aos respectivos alvos. A primeira e segunda onda de ataques usaram técnicas de spear-phishing e começaram com um documento malicioso do Microsoft Excel no idioma coreano criado e salvo em maio de 2018, atuando como downloaders do implante. Criado por um usuário chamado “Lion”, o arquivo do Excel continha informações que levam a McAfee a crer que os alvos estavam relacionados a projetos de infraestrutura pública da Coreia do Sul.
Uma terceira rodada de documentos maliciosos, desta vez do Microsoft Word, apresentava os mesmos metadados e autor que os documentos do Excel. O documento do Word continha informações falsas relacionadas às finanças do Fundo de Cooperação Intercoreano. As ondas quatro e cinco identificaram um pequeno número de alvos fora da Coreia do Sul, incluindo os EUA e o Canadá, à medida que os atacantes expandiram seu escopo.
Quanto às implicações e ao impacto, esses ataques podem ser um precursor de um ataque muito maior, considerando o controle que os atacantes têm sobre as vítimas infectadas. A Oceansalt dá aos atacantes controle total sobre qualquer sistema que eles consigam comprometer, bem como sobre a rede à qual o sistema está conectado. Dada uma possível colaboração com outros agentes de ameaça, há um número consideravelmente maior de ativos abertos e disponíveis para aproveitamento.
“Esta pesquisa mostra como os agentes de ameaça estão constantemente aprendendo uns com os outros e aproveitando as maiores inovações feitas por outros criminosos”, afirma Raj Samani, cientista-chefe da McAfee. “Quem quer que seja o responsável pelo ataque Oceansalt não está comercializando suas iniciativas, mas sim agindo e realizando ataques. A McAfee está se concentrando nos indicadores de comprometimento apresentados neste relatório para detectar, corrigir e proteger os sistemas, independentemente da origem dos ataques.”
Destaques
Escritório de Orçamento legislativo dos EUA sofre ciberataque
Cinco anos de ANPD marcam nova fase da governança de dados no Brasil
Líderes de SI veem sistemas protegidos, mas falsa sensação de Segurança permanece, diz análise
Prefeitura de Cuiabá confirma tentativa de ataque cibernético ao sistema de Saúde Pública
“Adotar Zero Trust é uma maratona”, afirma CISO do Grupo Protege
Governança e transparência são essenciais para o implementação da IA na Administração Pública, afirma Diretor da ANPD
Colunas & Blogs
Conteúdos Relacionados
Líderes de SI veem sistemas protegidos, mas falsa sensação de Segurança permanece, diz análise
Governança e transparência são essenciais para o implementação da IA na Administração Pública, afirma Diretor da ANPD
Ataque hacker ao protocolo Balancer causa prejuízo de mais de R$ 100 milhões
Cibercriminosos exploram a Conferência COP30 em novos golpes de phishing, alerta estudo