跨国高端黑客团体——Icefog

2013-09-29 187049人围观 ,发现 27 个不明物体 资讯


近日,卡巴斯基实验室的研究人员发布报告,宣布发现一支专门发起APT攻击的高端黑客组织,该组织在2011年开始对日本以及韩国的政府机构、防务公司发起了APT攻击。

卡巴斯基专家小组称,该组织成员来自世界各地,每个成员都具有牛逼的技术,能够发起复杂的攻击。卡巴实验室研究主任Costin Raiu在接受路透社采访时候告诉记者,该组织非常专业,并且每次攻击都签订相应合同,能够履行合同中的要求,严格遵守合同制度。研究人员在恶意软件的c&c服务器样本中发现了Icefog的字样,C&C的软件被命名为“三尖刀”。

Icefog组织主要目标是针对政府和军事机构进行APT攻击,渗透他们的网络中来窃取敏感数据,如F-16战斗机使用的雷达干扰系统、F-15的抬头显示器等,目前已知到受到Icefog组织攻击的机构如电信运营商、卫星运营商、国防承包商等,其中典型的就是Selectron Industrial,该公司专门为韩国、日本等国的国防工业提供产品数据。

卡巴斯基发布了一份关于Icefog的详细报告,研究人员分析了恶意软件的c&c服务器中相关信息,了解到攻击者所使用的技术,确定了一些受害者以及收集到的信息,根据分析结果得出的IP,得出下面的受害地区饼状图,排名前三为中国、日本、韩国

2

另外,Icefog组织常用的手段是利用社会工程学技巧来欺骗受害者,比如网络钓鱼,在攻击者使用特制的具有诱惑性的文件发给受害者。如下图:

3

图中人物为指原莉乃HKT48成员

攻击者利用的exp有:
CVE-2012-1856 
MSCOMCTL.OCX内通用控件TabStrip ActiveX控件在实现上存在错误,通过特制的文档和Web页触发系统状态破坏,可被利用破坏内存,导致执行任意代码。更多查看这里

CVE-2012-0158 
MSCOMCTL.OCX远程代码执行漏洞。

CVE-2013-0422
CVE-2013-0422是一个存在于浏览器Java插件中的漏洞,利用了Oracle JRE7环境中的com.sun.jmx.mbeanserver.MBeanInstantiator.findClass方法中存在的漏洞使得黑客可以关闭Java Security Manager执行任意java代码。

CVE-2012-1723
Oracle Java SE (subcomponent: Hotspot)中的Java Runtime Environment组件在实现上存在安全漏洞,可允许远程未验证的攻击者影响。

Icefog团队擅长收集用户的敏感信息、文件、公司发展蓝图、邮件帐户等,并且使用一个特制的后门工具包-Fucobha,其中包含了Microsoft Windows和Mac OS X的攻击脚本。在2012年年底的时候,Icefog团队开始在网络发布Mac OS X恶意软件,如http://bbs.pcbeta.com/forum.php?mod=viewthread&tid=1157944&page=1#pid30109870,并且在中国很多BBS发布了类似的恶意软件。

传统的APT网络间谍团体,往往成员比较多,渗透的时候喜欢隐藏在服务器几个月或者几年,而Icefog似乎与他们有所不同,没有复杂的流程,讲究敏捷性渗透,人数非常少,但都是精英,该组织遵守一个口号“拿到就闪”,获得了需要的数据之后,立刻销毁相关信息,撤离该服务器,尽量减少被发现的几率。并且他们非常清楚他们需要什么,往往只需要看到文件名就确定该文件是否需要,并且立刻转移到C&C服务器,真可谓火眼金睛,一眼就能看出你啥罩杯

除了中国、日本、韩国之外,其他国家比如美国、澳大利亚、加拿大、英国、意大利、德国、奥地利、新加坡、白俄罗斯、马来西亚也留下了该组织的踪迹。

更多阅读卡巴斯基发布的报告

这些评论亮了

  • xocoder 回复
    这种常规挂马技术,被媒体一描述,立马变得高端、大气、上档次了。
    )38( 亮了
  • litdg (6级) FB作者 回复
    火眼金睛,一眼就能看出你啥罩杯
    )23( 亮了
  • 小溢出牛 回复
    看成了icefrog的顶我
    )15( 亮了
  • Serpent (3级) 回复
    国外媒体净扯淡,就是用色情图片+非0Day漏洞+欺骗进行挂马攻击
    还敏捷性渗透,净搞虚的词,当开发呢?他来敏捷一个试试?
    )14( 亮了
  • init5 (3级) 招商银行安全员 回复
    能帮我点个亮吗?
    )8( 亮了
发表评论

已有 27 条评论

取消
Loading...
css.php