近日，卡巴斯基實(shí)驗室的研究人員發(fā)布報告，宣布發(fā)現(xiàn)一支專門發(fā)起APT攻擊的高端黑客組織，該組織在2011年開始對日本以及韓國的政府機(jī)構(gòu)、防務(wù)公司發(fā)起了APT攻擊。

卡巴斯基專家小組稱，該組織成員來自世界各地，每個成員都具有牛逼的技術(shù)，能夠發(fā)起復(fù)雜的攻擊?？ò蛯?shí)驗室研究主任Costin Raiu在接受路透社采訪時候告訴記者，該組織非常專業(yè)，并且每次攻擊都簽訂相應(yīng)合同，能夠履行合同中的要求，嚴(yán)格遵守合同制度。研究人員在惡意軟件的c&c服務(wù)器樣本中發(fā)現(xiàn)了Icefog的字樣，C&C的軟件被命名為“三尖刀”。

Icefog組織主要目標(biāo)是針對政府和軍事機(jī)構(gòu)進(jìn)行APT攻擊，滲透他們的網(wǎng)絡(luò)中來竊取敏感數(shù)據(jù)，如F-16戰(zhàn)斗機(jī)使用的雷達(dá)干擾系統(tǒng)、F-15的抬頭顯示器等，目前已知到受到Icefog組織攻擊的機(jī)構(gòu)如電信運(yùn)營商、衛(wèi)星運(yùn)營商、國防承包商等，其中典型的就是Selectron Industrial，該公司專門為韓國、日本等國的國防工業(yè)提供產(chǎn)品數(shù)據(jù)。卡巴斯基發(fā)布了一份關(guān)于Icefog的詳細(xì)報告，研究人員分析了惡意軟件的c&c服務(wù)器中相關(guān)信息，了解到攻擊者所使用的技術(shù)，確定了一些受害者以及收集到的信息，根據(jù)分析結(jié)果得出的IP，得出下面的受害地區(qū)餅狀圖，排名前三為中國、日本、韓國。

另外，Icefog組織常用的手段是利用社會工程學(xué)技巧來欺騙受害者，比如網(wǎng)絡(luò)釣魚，在攻擊者使用特制的具有誘惑性的文件發(fā)給受害者。如下圖：

圖中人物為指原莉乃 – HKT48成員攻擊者利用的exp有：

CVE-2012-1856

MSCOMCTL.OCX內(nèi)通用控件TabStrip ActiveX控件在實(shí)現(xiàn)上存在錯誤，通過特制的文檔和Web頁觸發(fā)系統(tǒng)狀態(tài)破壞，可被利用破壞內(nèi)存，導(dǎo)致執(zhí)行任意代碼。更多查看這里。CVE-2012-0158

MSCOMCTL.OCX遠(yuǎn)程代碼執(zhí)行漏洞。

CVE-2013-0422

CVE-2013-0422是一個存在于瀏覽器Java插件中的漏洞，利用了Oracle JRE7環(huán)境中的com.sun.jmx.mbeanserver.MBeanInstantiator.findClass方法中存在的漏洞使得黑客可以關(guān)閉Java Security Manager執(zhí)行任意java代碼。

CVE-2012-1723

Oracle Java SE (subcomponent: Hotspot)中的Java Runtime Environment組件在實(shí)現(xiàn)上存在安全漏洞，可允許遠(yuǎn)程未驗證的攻擊者影響。

等Icefog團(tuán)隊擅長收集用戶的敏感信息、文件、公司發(fā)展藍(lán)圖、郵件帳戶等，并且使用一個特制的后門工具包-Fucobha，其中包含了Microsoft Windows和Mac OS X的攻擊腳本。在2012年年底的時候，Icefog團(tuán)隊開始在網(wǎng)絡(luò)發(fā)布Mac OS X惡意軟件，如http://bbs.pcbeta.com/forum.php?mod=viewthread&tid=1157944&page=1#pid30109870，并且在中國很多BBS發(fā)布了類似的惡意軟件。

傳統(tǒng)的APT網(wǎng)絡(luò)間諜團(tuán)體，往往成員比較多，滲透的時候喜歡隱藏在服務(wù)器幾個月或者幾年，而Icefog似乎與他們有所不同，沒有復(fù)雜的流程，講究敏捷性滲透，人數(shù)非常少，但都是精英，該組織遵守一個口號“拿到就閃”，獲得了需要的數(shù)據(jù)之后，立刻銷毀相關(guān)信息，撤離該服務(wù)器，盡量減少被發(fā)現(xiàn)的幾率。并且他們非常清楚他們需要什么，往往只需要看到文件名就確定該文件是否需要，并且立刻轉(zhuǎn)移到C&C服務(wù)器，真可謂火眼金睛，一眼就能看出你啥罩杯。除了中國、日本、韓國之外，其他國家比如美國、澳大利亞、加拿大、英國、意大利、德國、奧地利、新加坡、白俄羅斯、馬來西亞也留下了該組織的蹤跡。