卡巴斯基尝试室安然研究小组颁发了一份最新的查询拜访陈述发布,他们发现一种名为“Icefog”的针对韩国和日本方针进行报复打击的小范围高级延续性威胁(APT)。这类报复打击的首要针对西方企业的供给链。Icefog报复打击从2011年开端,比来几年在范围和报复打击范围上有所扩大年夜。
“在过往几年中,我们看到大年夜量高级延续性威胁(APT)报复打击范围已涵盖几近各类方针和范畴。良多环境下,报复打击者会暗藏在企业和当局收集中数年,并将Tb字节的敏感信息盗掏出来,”卡巴斯基尝试室全球研究和阐发团队总监Costin Raiu说,“Icefog报复打击具有游击性质,这表白一种新趋势的呈现,即进行游击报复打击的小范围报复打击者会针对方针信息进行精准报复打击。这类报复打击凡是延续数天或数周,一旦报复打击者获得到需要的数据,会很快清算好并分开。将来,我们猜想此类小范围的可雇佣APT报复打击集体数量会增加,这类报复打击集体专门从事游击报复打击,成为‘收集雇佣军’”。
首要发现
按照已肯定的被报复打击方针的资料,我们发现报复打击者仿佛对以下范畴颇感欢愉爱好,包含:兵工、造船业和海事步履、计较机和软件开辟、研发公司、电信运营商、卫星运营商、大年夜众媒体和电视广播范畴。
研究显示,报复打击者的报复打击方针包含国防财产承包商,例如Lig Nex1和Selectron Industrial Company;造船公司,例如DSME Tech和Hanjin Heavy Industires;电信运营商,例如韩国电信公司;媒体公司,例如富士电视台。
报复打击者会截获敏感数据、公司打算、电子邮件账号登录信息、用于拜候被报复打击对象内部和外部收集资本的暗码。
报复打击过程中,报复打击者利用了“Icefog”后门法度集(又称为“Fucobha”)。卡巴斯基尝试室已检测出针对Windows和Mac OS X把持系统的Icefog歹意法度。
在其他大年夜大都APT报复打击步履中,受害者一般会被传染数月乃至数年,报复打击者会不竭从受传染系统或收集盗取数据。而Icefog报复打击者则会一一对受报复打击者实施报复打击,并且只寻觅和拷贝特定的方针信息。一旦获得到想要的信息,报复打击者会当即撤离。
大年夜大都环境下,Icefog报复打击者仿佛对受报复打击者很体味,知道从哪里获得何类数据。报复打击者会查找特定的文件名,并将找到的文件敏捷传输到号令和节制办事器。
报复打击和功能
卡巴斯基尝试室的研究人员对报复打击者利用的70多个域名中的13个进行了“排污口”查询拜访,按照统计数据得出全球受害者数量。别的,Icefog的号令和节制办事器对其报复打击方针日记和其他报复打击步履日记文件进行了加密。这些日记文件可以或许帮忙确认报复打击方针,有些还可以或许确认受害者身份。除日本和韩国多家公司和组织遭受报复打击外,还有良多源自其他国度和地区的“排污”连接,此中包含台湾、喷鼻港、中国、美国、澳大年夜利亚、加拿大年夜、英国、意大年夜利、德国、奥地利、新加坡、白俄罗斯和马来西亚。整体来看,卡巴斯基尝试室监测到超越4,000个被传染IP和数百个被报复打击者(几十个Windows被报复打击者和超越350个Mac OS X被报复打击者)。
按照用于监控和节制受传染根本举措措施的IP地址,卡巴斯基尝试室的专家猜测这类威胁报复打击背后起码触及三个国度,别离为中国、韩国和日本。
卡巴斯基尝试室产品已可以或许检测和断根所有Icefog歹意软件变种。