近日,卡巴斯基实验室的研究人员发布报告,宣布发现一支专门发起APT攻击的高端黑客组织,该组织在2011年开始对日本以及韩国的政府机构、防务公司发起了APT攻击。
卡巴斯基专家小组称,该组织成员来自世界各地,每个成员都具有牛逼的技术,能够发起复杂的攻击。卡巴实验室研究主任Costin Raiu在接受路透社采访时候告诉记者,该组织非常专业,并且每次攻击都签订相应合同,能够履行合同中的要求,严格遵守合同制度。研究人员在恶意软件的c&c服务器样本中发现了Icefog的字样,C&C的软件被命名为“三尖刀”。
Icefog组织主要目标是针对政府和军事机构进行APT攻击,渗透他们的网络中来窃取敏感数据,如F-16战斗机使用的雷达干扰系统、F-15的抬头显示器等,目前已知到受到Icefog组织攻击的机构如电信运营商、卫星运营商、国防承包商等,其中典型的就是Selectron Industrial,该公司专门为韩国、日本等国的国防工业提供产品数据。卡巴斯基发布了一份关于Icefog的详细报告,研究人员分析了恶意软件的c&c服务器中相关信息,了解到攻击者所使用的技术,确定了一些受害者以及收集到的信息,根据分析结果得出的IP,得出下面的受害地区饼状图,排名前三为中国、日本、韩国。
另外,Icefog组织常用的手段是利用社会工程学技巧来欺骗受害者,比如网络钓鱼,在攻击者使用特制的具有诱惑性的文件发给受害者。如下图:
图中人物为指原莉乃 – HKT48成员攻击者利用的exp有:
CVE-2012-1856
MSCOMCTL.OCX内通用控件TabStrip ActiveX控件在实现上存在错误,通过特制的文档和Web页触发系统状态破坏,可被利用破坏内存,导致执行任意代码。更多查看这里。CVE-2012-0158
MSCOMCTL.OCX远程代码执行漏洞。
CVE-2013-0422
CVE-2013-0422是一个存在于浏览器Java插件中的漏洞,利用了Oracle JRE7环境中的com.sun.jmx.mbeanserver.MBeanInstantiator.findClass方法中存在的漏洞使得黑客可以关闭Java Security Manager执行任意java代码。
CVE-2012-1723
Oracle Java SE (subcomponent: Hotspot)中的Java Runtime Environment组件在实现上存在安全漏洞,可允许远程未验证的攻击者影响。
等Icefog团队擅长收集用户的敏感信息、文件、公司发展蓝图、邮件帐户等,并且使用一个特制的后门工具包-Fucobha,其中包含了Microsoft Windows和Mac OS X的攻击脚本。在2012年年底的时候,Icefog团队开始在网络发布Mac OS X恶意软件,如http://bbs.pcbeta.com/forum.php?mod=viewthread&tid=1157944&page=1#pid30109870,并且在中国很多BBS发布了类似的恶意软件。
传统的APT网络间谍团体,往往成员比较多,渗透的时候喜欢隐藏在服务器几个月或者几年,而Icefog似乎与他们有所不同,没有复杂的流程,讲究敏捷性渗透,人数非常少,但都是精英,该组织遵守一个口号“拿到就闪”,获得了需要的数据之后,立刻销毁相关信息,撤离该服务器,尽量减少被发现的几率。并且他们非常清楚他们需要什么,往往只需要看到文件名就确定该文件是否需要,并且立刻转移到C&C服务器,真可谓火眼金睛,一眼就能看出你啥罩杯。除了中国、日本、韩国之外,其他国家比如美国、澳大利亚、加拿大、英国、意大利、德国、奥地利、新加坡、白俄罗斯、马来西亚也留下了该组织的踪迹。