Nova campanha de ciberespionagem usa código-fonte de grupo de hackers chinês

Ação utiliza a mesma técnica de reconhecimento de dados utilizado pela última vez em 2010, na época conhecida como SEASALT, pelo grupo de hackers APT1 ou Comment Crew

Compartilhar:

A McAfee anunciou um relatório de descoberta de uma nova campanha de espionagem cibernética que tem como alvo a Coreia do Sul, os Estados Unidos e o Canadá. A nova campanha utiliza a mesma técnica de reconhecimento de dados utilizado pela última vez em 2010, na época conhecida como SEASALT, pelo grupo de hackers APT1 ou Comment Crew, afiliado ao exército chinês acusado de empreender ataques cibernéticos contra mais de 141 empresas americanas de 2006 a 2010.

 

Os agentes dessa nova campanha não foram identificados. No entanto, eles reutilizaram o código de implantes usados pela última vez em 2010 pelo Comment Crew, que conduziu as operações ofensivas cibernéticas contra os EUA, conhecidas como “Operação Seasalt”. A nova campanha, que a McAfee batizou de “Operação Oceansalt”, destaca-se por sua semelhança com a Seasalt.

 

O relatório “Operação Oceansalt ataca Coreia do Sul, EUA e Canadá com código-fonte de grupo de hackers chinês”, sugere que o desenvolvimento do implante da Oceansalt não teria sido possível a menos que os agentes responsáveis tivessem acesso direto ao código-fonte da Seasalt de 2010 do Comment Crew. Entretanto, a equipe do McAfee Advanced Threat Research não encontrou evidências de que o código-fonte do Comment Crew tenha sido publicado em nenhum momento, levantando a questão de quem é o verdadeiro responsável pela Oceansalt.

 

A McAfee descobriu que a Oceansalt foi empregada em cinco “ondas” de ataque adaptadas aos respectivos alvos. A primeira e segunda onda de ataques usaram técnicas de spear-phishing e começaram com um documento malicioso do Microsoft Excel no idioma coreano criado e salvo em maio de 2018, atuando como downloaders do implante. Criado por um usuário chamado “Lion”, o arquivo do Excel continha informações que levam a McAfee a crer que os alvos estavam relacionados a projetos de infraestrutura pública da Coreia do Sul.

 

Uma terceira rodada de documentos maliciosos, desta vez do Microsoft Word, apresentava os mesmos metadados e autor que os documentos do Excel. O documento do Word continha informações falsas relacionadas às finanças do Fundo de Cooperação Intercoreano. As ondas quatro e cinco identificaram um pequeno número de alvos fora da Coreia do Sul, incluindo os EUA e o Canadá, à medida que os atacantes expandiram seu escopo.

 

Quanto às implicações e ao impacto, esses ataques podem ser um precursor de um ataque muito maior, considerando o controle que os atacantes têm sobre as vítimas infectadas. A Oceansalt dá aos atacantes controle total sobre qualquer sistema que eles consigam comprometer, bem como sobre a rede à qual o sistema está conectado. Dada uma possível colaboração com outros agentes de ameaça, há um número consideravelmente maior de ativos abertos e disponíveis para aproveitamento.

 

“Esta pesquisa mostra como os agentes de ameaça estão constantemente aprendendo uns com os outros e aproveitando as maiores inovações feitas por outros criminosos”, afirma Raj Samani, cientista-chefe da McAfee. “Quem quer que seja o responsável pelo ataque Oceansalt não está comercializando suas iniciativas, mas sim agindo e realizando ataques. A McAfee está se concentrando nos indicadores de comprometimento apresentados neste relatório para detectar, corrigir e proteger os sistemas, independentemente da origem dos ataques.”

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Relatório: Ciberataques globais seguem em níveis elevados e Brasil está entre os mais expostos

Os pesquisadores relatam que ataques cibernéticos globais atingiram o volume de quase 2.000 por semana por organização em agosto; no...
Security Report | Overview

Incidentes cibernéticos podem derrubar preço das ações em até 1,5%, revela estudo

Levantamento revela correlação direta entre ataques digitais e perdas financeiras prolongadas nas maiores empresas dos EUA
Security Report | Overview

Cenário global de cibersegurança expõe vulnerabilidades na América Latina

Relatório mostra que IA impulsiona ataques mais sofisticados e América Latina registra nível crítico de ciberameaças em 2025
Security Report | Overview

Nova cepa de malware é estudada após ataque em APIs expostas

Estudo descobr euma nova cepa de malware que tem como alvo APIs Docker expostas, com capacidades de infecção expandidas. Ele...