freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

跨国高端黑客团体——Icefog
2013-09-29 09:00:58


近日,卡巴斯基实验室的研究人员发布报告,宣布发现一支专门发起APT攻击的高端黑客组织,该组织在2011年开始对日本以及韩国的政府机构、防务公司发起了APT攻击。

卡巴斯基专家小组称,该组织成员来自世界各地,每个成员都具有牛逼的技术,能够发起复杂的攻击。卡巴实验室研究主任Costin Raiu在接受路透社采访时候告诉记者,该组织非常专业,并且每次攻击都签订相应合同,能够履行合同中的要求,严格遵守合同制度。研究人员在恶意软件的c&c服务器样本中发现了Icefog的字样,C&C的软件被命名为“三尖刀”。

Icefog组织主要目标是针对政府和军事机构进行APT攻击,渗透他们的网络中来窃取敏感数据,如F-16战斗机使用的雷达干扰系统、F-15的抬头显示器等,目前已知到受到Icefog组织攻击的机构如电信运营商、卫星运营商、国防承包商等,其中典型的就是Selectron Industrial,该公司专门为韩国、日本等国的国防工业提供产品数据。

卡巴斯基发布了一份关于Icefog的详细报告,研究人员分析了恶意软件的c&c服务器中相关信息,了解到攻击者所使用的技术,确定了一些受害者以及收集到的信息,根据分析结果得出的IP,得出下面的受害地区饼状图,排名前三为中国、日本、韩国

2


另外,Icefog组织常用的手段是利用社会工程学技巧来欺骗受害者,比如网络钓鱼,在攻击者使用特制的具有诱惑性的文件发给受害者。如下图:

3

图中人物为指原莉乃 - HKT48成员

攻击者利用的exp有:
CVE-2012-1856 
MSCOMCTL.OCX内通用控件TabStrip ActiveX控件在实现上存在错误,通过特制的文档和Web页触发系统状态破坏,可被利用破坏内存,导致执行任意代码。更多查看这里

CVE-2012-0158 
MSCOMCTL.OCX远程代码执行漏洞。

CVE-2013-0422
CVE-2013-0422是一个存在于浏览器Java插件中的漏洞,利用了Oracle JRE7环境中的com.sun.jmx.mbeanserver.MBeanInstantiator.findClass方法中存在的漏洞使得黑客可以关闭Java Security Manager执行任意java代码。

CVE-2012-1723
Oracle Java SE (subcomponent: Hotspot)中的Java Runtime Environment组件在实现上存在安全漏洞,可允许远程未验证的攻击者影响。

Icefog团队擅长收集用户的敏感信息、文件、公司发展蓝图、邮件帐户等,并且使用一个特制的后门工具包-Fucobha,其中包含了Microsoft Windows和Mac OS X的攻击脚本。在2012年年底的时候,Icefog团队开始在网络发布Mac OS X恶意软件,如http://bbs.pcbeta.com/forum.php?mod=viewthread&tid=1157944&page=1#pid30109870,并且在中国很多BBS发布了类似的恶意软件。

传统的APT网络间谍团体,往往成员比较多,渗透的时候喜欢隐藏在服务器几个月或者几年,而Icefog似乎与他们有所不同,没有复杂的流程,讲究敏捷性渗透,人数非常少,但都是精英,该组织遵守一个口号“拿到就闪”,获得了需要的数据之后,立刻销毁相关信息,撤离该服务器,尽量减少被发现的几率。并且他们非常清楚他们需要什么,往往只需要看到文件名就确定该文件是否需要,并且立刻转移到C&C服务器,真可谓火眼金睛,一眼就能看出你啥罩杯

除了中国、日本、韩国之外,其他国家比如美国、澳大利亚、加拿大、英国、意大利、德国、奥地利、新加坡、白俄罗斯、马来西亚也留下了该组织的踪迹。

更多阅读卡巴斯基发布的报告

本文作者:, 转载请注明来自FreeBuf.COM

被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦