近日，卡巴斯基實(shí)驗(yàn)室的研究人員發(fā)布報(bào)告，宣布發(fā)現(xiàn)一支專門發(fā)起APT攻擊的高端黑客組織，該組織在2011年開始對(duì)日本以及韓國(guó)的政府機(jī)構(gòu)、防務(wù)公司發(fā)起了APT攻擊。

卡巴斯基專家小組稱，該組織成員來自世界各地，每個(gè)成員都具有牛逼的技術(shù)，能夠發(fā)起復(fù)雜的攻擊?？ò蛯?shí)驗(yàn)室研究主任Costin Raiu在接受路透社采訪時(shí)候告訴記者，該組織非常專業(yè)，并且每次攻擊都簽訂相應(yīng)合同，能夠履行合同中的要求，嚴(yán)格遵守合同制度。研究人員在惡意軟件的c&c服務(wù)器樣本中發(fā)現(xiàn)了Icefog的字樣，C&C的軟件被命名為“三尖刀”。

Icefog組織主要目標(biāo)是針對(duì)政府和軍事機(jī)構(gòu)進(jìn)行APT攻擊，滲透他們的網(wǎng)絡(luò)中來竊取敏感數(shù)據(jù)，如F-16戰(zhàn)斗機(jī)使用的雷達(dá)干擾系統(tǒng)、F-15的抬頭顯示器等，目前已知到受到Icefog組織攻擊的機(jī)構(gòu)如電信運(yùn)營(yíng)商、衛(wèi)星運(yùn)營(yíng)商、國(guó)防承包商等，其中典型的就是Selectron Industrial，該公司專門為韓國(guó)、日本等國(guó)的國(guó)防工業(yè)提供產(chǎn)品數(shù)據(jù)?？ò退够l(fā)布了一份關(guān)于Icefog的詳細(xì)報(bào)告，研究人員分析了惡意軟件的c&c服務(wù)器中相關(guān)信息，了解到攻擊者所使用的技術(shù)，確定了一些受害者以及收集到的信息，根據(jù)分析結(jié)果得出的IP，得出下面的受害地區(qū)餅狀圖，排名前三為中國(guó)、日本、韓國(guó)。

另外，Icefog組織常用的手段是利用社會(huì)工程學(xué)技巧來欺騙受害者，比如網(wǎng)絡(luò)釣魚，在攻擊者使用特制的具有誘惑性的文件發(fā)給受害者。如下圖：

圖中人物為指原莉乃 – HKT48成員攻擊者利用的exp有：

CVE-2012-1856

MSCOMCTL.OCX內(nèi)通用控件TabStrip ActiveX控件在實(shí)現(xiàn)上存在錯(cuò)誤，通過特制的文檔和Web頁(yè)觸發(fā)系統(tǒng)狀態(tài)破壞，可被利用破壞內(nèi)存，導(dǎo)致執(zhí)行任意代碼。更多查看這里。CVE-2012-0158

MSCOMCTL.OCX遠(yuǎn)程代碼執(zhí)行漏洞。

CVE-2013-0422

CVE-2013-0422是一個(gè)存在于瀏覽器Java插件中的漏洞，利用了Oracle JRE7環(huán)境中的com.sun.jmx.mbeanserver.MBeanInstantiator.findClass方法中存在的漏洞使得黑客可以關(guān)閉Java Security Manager執(zhí)行任意java代碼。

CVE-2012-1723

Oracle Java SE (subcomponent: Hotspot)中的Java Runtime Environment組件在實(shí)現(xiàn)上存在安全漏洞，可允許遠(yuǎn)程未驗(yàn)證的攻擊者影響。

等Icefog團(tuán)隊(duì)擅長(zhǎng)收集用戶的敏感信息、文件、公司發(fā)展藍(lán)圖、郵件帳戶等，并且使用一個(gè)特制的后門工具包-Fucobha，其中包含了Microsoft Windows和Mac OS X的攻擊腳本。在2012年年底的時(shí)候，Icefog團(tuán)隊(duì)開始在網(wǎng)絡(luò)發(fā)布Mac OS X惡意軟件，如http://bbs.pcbeta.com/forum.php?mod=viewthread&tid=1157944&page=1#pid30109870，并且在中國(guó)很多BBS發(fā)布了類似的惡意軟件。

傳統(tǒng)的APT網(wǎng)絡(luò)間諜團(tuán)體，往往成員比較多，滲透的時(shí)候喜歡隱藏在服務(wù)器幾個(gè)月或者幾年，而Icefog似乎與他們有所不同，沒有復(fù)雜的流程，講究敏捷性滲透，人數(shù)非常少，但都是精英，該組織遵守一個(gè)口號(hào)“拿到就閃”，獲得了需要的數(shù)據(jù)之后，立刻銷毀相關(guān)信息，撤離該服務(wù)器，盡量減少被發(fā)現(xiàn)的幾率。并且他們非常清楚他們需要什么，往往只需要看到文件名就確定該文件是否需要，并且立刻轉(zhuǎn)移到C&C服務(wù)器，真可謂火眼金睛，一眼就能看出你啥罩杯。除了中國(guó)、日本、韓國(guó)之外，其他國(guó)家比如美國(guó)、澳大利亞、加拿大、英國(guó)、意大利、德國(guó)、奧地利、新加坡、白俄羅斯、馬來西亞也留下了該組織的蹤跡。