s0346-oceansalt - RunkIntel

# OceanSalt > Tipo: **malware** · S0346 · [MITRE ATT&CK](https://attack.mitre.org/software/S0346) ## Descrição [[s0346-oceansalt|OceanSalt]] é um Trojan utilizado em uma campanha direcionada a vítimas na Coreia do Sul, Estados Unidos e Canadá. O OceanSalt compartilha similaridade de código com o [[spynote-rat|SpyNote RAT]], que foi vinculado ao [[g0006-apt1|APT1]] (Comment Crew), grupo chinês. Esta sobreposição de código levanta hipóteses sobre reuso de arsenal ou compartilhamento entre grupos distintos, embora a atribuição definitiva permaneça incerta. O malware é distribuído via campanhas de spear-phishing com documentos maliciosos e funciona como um Trojan de acesso inicial, coletando informações básicas do sistema e rede. Sua codificação não-padrão para comúnicações C2 busca evadir inspeção de conteúdo de proxies corporativos. A campanha que utilizou o OceanSalt foi identificada em 2018 e parece ter como alvo organizações dos setores público, financeiro e de infraestrutura na Coreia do Sul, com extensões para alvos norte-americanos e canadenses possívelmente relacionados a questões da península coreana. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1132-002-non-standard-encoding|T1132.002 - Non-Standard Encoding]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] ## Detecção - Monitorar anexos de documentos do Office que executam processos cmd.exe ([[t1059-003-windows-command-shell|T1059.003]]) - Detectar comunicação C2 com encodings não-padrão em tráfego HTTP ([[t1132-002-non-standard-encoding|T1132.002]]) - Analisar padrões de descoberta de processos e rede logo após abertura de documentos ([[t1057-process-discovery|T1057]]) - Correlacionar com IoCs do SpyNote RAT por sobreposição de código ## Relevância LATAM/Brasil Embora o OceanSalt tenha se focado em alvos asiáticos e norte-americanos, a técnica de reuso e compartilhamento de código entre grupos de ameaça é uma tendência crescente que afeta todo o ecossistema de segurança global. Organizações brasileiras com relações comerciais ou governamentais com a Coreia do Sul, Taiwan ou outros países do Indo-Pacífico podem ser alvo de campanhas similares que empregam ferramentas com linhagem no APT1. ## Referências - [MITRE ATT&CK - S0346](https://attack.mitre.org/software/S0346)