专门发起APT攻击的黑客组织Icefog

安全 黑客攻防
近日,卡巴斯基实验室的研究人员发布报告,宣布发现一支专门发起APT攻击的高端黑客组织,该组织在2011年开始对日本以及韩国的政府机构、防务公司发起了APT攻击。

近日,卡巴斯基实验室的研究人员发布报告,宣布发现一支专门发起APT攻击的高端黑客组织,该组织在2011年开始对日本以及韩国的政府机构、防务公司发起了APT攻击。

专门发起APT攻击的黑客组织Icefog

卡巴斯基专家小组称,该组织成员来自世界各地,每个成员都具有牛逼的技术,能够发起复杂的攻击。卡巴实验室研究主任Costin Raiu在接受路透社采访时候告诉记者,该组织非常专业,并且每次攻击都签订相应合同,能够履行合同中的要求,严格遵守合同制度。研究人员在恶意软件的c&c服务器样本中发现了Icefog的字样,C&C的软件被命名为“三尖刀”。

Icefog组织主要目标是针对政府和军事机构进行APT攻击,渗透他们的网络中来窃取敏感数据,如F-16战斗机使用的雷达干扰系统、F-15的抬头显示器等,目前已知到受到Icefog组织攻击的机构如电信运营商、卫星运营商、国防承包商等,其中典型的就是Selectron Industrial,该公司专门为韩国、日本等国的国防工业提供产品数据。卡巴斯基发布了一份关于Icefog的详细报告,研究人员分析了恶意软件的c&c服务器中相关信息,了解到攻击者所使用的技术,确定了一些受害者以及收集到的信息,根据分析结果得出的IP,得出下面的受害地区饼状图,排名前三为中国、日本、韩国。

专门发起APT攻击的黑客组织Icefog

另外,Icefog组织常用的手段是利用社会工程学技巧来欺骗受害者,比如网络钓鱼,在攻击者使用特制的具有诱惑性的文件发给受害者。如下图:

专门发起APT攻击的黑客组织Icefog

图中人物为指原莉乃 – HKT48成员攻击者利用的exp有:

CVE-2012-1856

MSCOMCTL.OCX内通用控件TabStrip ActiveX控件在实现上存在错误,通过特制的文档和Web页触发系统状态破坏,可被利用破坏内存,导致执行任意代码。更多查看这里。CVE-2012-0158

MSCOMCTL.OCX远程代码执行漏洞。

CVE-2013-0422

CVE-2013-0422是一个存在于浏览器Java插件中的漏洞,利用了Oracle JRE7环境中的com.sun.jmx.mbeanserver.MBeanInstantiator.findClass方法中存在的漏洞使得黑客可以关闭Java Security Manager执行任意java代码。

CVE-2012-1723

Oracle Java SE (subcomponent: Hotspot)中的Java Runtime Environment组件在实现上存在安全漏洞,可允许远程未验证的攻击者影响。

等Icefog团队擅长收集用户的敏感信息、文件、公司发展蓝图、邮件帐户等,并且使用一个特制的后门工具包-Fucobha,其中包含了Microsoft Windows和Mac OS X的攻击脚本。在2012年年底的时候,Icefog团队开始在网络发布Mac OS X恶意软件,如http://bbs.pcbeta.com/forum.php?mod=viewthread&tid=1157944&page=1#pid30109870,并且在中国很多BBS发布了类似的恶意软件。

专门发起APT攻击的黑客组织Icefog

传统的APT网络间谍团体,往往成员比较多,渗透的时候喜欢隐藏在服务器几个月或者几年,而Icefog似乎与他们有所不同,没有复杂的流程,讲究敏捷性渗透,人数非常少,但都是精英,该组织遵守一个口号“拿到就闪”,获得了需要的数据之后,立刻销毁相关信息,撤离该服务器,尽量减少被发现的几率。并且他们非常清楚他们需要什么,往往只需要看到文件名就确定该文件是否需要,并且立刻转移到C&C服务器,真可谓火眼金睛,一眼就能看出你啥罩杯。除了中国、日本、韩国之外,其他国家比如美国、澳大利亚、加拿大、英国、意大利、德国、奥地利、新加坡、白俄罗斯、马来西亚也留下了该组织的踪迹。

责任编辑:蓝雨泪 来源: FreebuF
相关推荐

2020-09-18 11:19:03

恶意软件Linux网络攻击

2020-09-16 10:25:36

恶意软件Linux网络攻击

2024-05-23 15:13:06

2014-12-04 15:17:32

2020-12-30 09:27:06

黑客网络攻击恶意代码

2021-03-23 10:41:00

漏洞黑客组织谷歌

2012-02-20 14:14:34

2022-05-10 11:51:42

APT组织网络攻击

2013-10-31 09:59:13

2022-08-18 17:50:22

黑客恶意软件安全

2012-02-21 08:10:48

2020-02-05 14:42:41

黑客网络安全APT

2014-06-26 11:33:42

2021-03-25 10:13:12

加密货币攻击漏洞

2022-03-25 11:53:11

Telegram网络犯罪分子恶意软件

2015-12-22 11:57:42

2024-09-30 10:30:06

2011-08-10 11:18:41

2022-05-09 11:54:50

电信巨头T-Mobile网络攻击
点赞
收藏

51CTO技术栈公众号