Oceansalt活动:mcafee发现APT1相关恶意代码在韩国活动

迈克菲报道,最近发现的一项针对韩国的攻击,其中攻击使用的代码与APT1使用过的Seasalt相似代码。报告在这里

迈克菲的安全研究人员发现,Oceansalt在5个目标中发现。虽然前两次攻击是基于spearfishing并使用恶意韩语Microsoft Excel文档下载恶意文件,但第三次攻击切换到Microsoft Word文档。第四和第五波针对的是韩国以外的少数实体,包括美国和加拿大。在攻击期间,黑客使用了多个命令和控制(C&C)服务器,表明该活动在加拿大,哥斯达黎加,美国和菲律宾等国家都很活跃。

McAfee指出,Oceansalt和Seasalt不仅包含两个完全相同的字符串(Upfileer和Upfileok),还在命令处理程序和索引表中显示相似之处,并以相同的方式执行它们的功能。此外,两者都使用完全相同的响应代码来指示命令执行的成功或失败。两种下载注入文件都使用相同的代码进行驱动和文件侦察,以及创建反向shell(基于cmd.exe)。然而,与Seasalt不同,Oceansalt使用编码和解码机制以及硬编码控制服务器地址,但不使用持久性方法。

McAfee表示,有证据表明Oceansalt作者和Comment Crew之间的代码共享包括获取C&C IP地址的不同机制,以及在某些Oceansalt样本中缺乏反向shell功能。

Oceansalt包括对十几个命令的支持:提取驱动器信息,发送有关特定文件的信息,使用WinExec()执行命令行,删除文件,创建文件,获取有关正在运行的进程的信息,终止进程,创建/操作/终止反向shell,并测试接收和发送功能。

报告链接:

https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-oceansalt.pdf

IOC:

158.69.131.78
172.81.132.62
27.102.112.179
211.104.160.196

fc121db04067cffbed04d7403c1d222d376fa7ba
832d5e6ebd9808279ee3e59ba4b5b0e884b859a5
be4fbb5a4b32db20a914cad5701f5c7ba51571b7
1f70715e86a2fcc1437926ecfaeadc53ddce41c9
dd3fb2750da3e8fc889cd1611117b02d49cf17f7
583879cfaf735fa446be5bfcbcc9e580bf542c8c
ec9a9d431fd69e23a5b770bf03fe0fb5a21c0c36
d72bc671583801c3c65ac1a96bb75c6026e06a73
e5c6229825f11d5a5749d3f2fe7acbe074cba77c
9fe4bfdd258ecedb676b9de4e23b86b1695c4e1e
281a13ecb674de42f2e8fdaea5e6f46a5436c685
42192bb852d696d55da25b9178536de6365f0e68
12a9faa96ba1be8a73e73be72ef1072096d964fb
0ae167204c841bdfd3600dddf2c9c185b17ac6d4

发表评论

电子邮件地址不会被公开。 必填项已用*标注