最近、Kaspersky Labの研究者は、2011年から日本や韓国の政府機関や防衛関連企業に対してAPT攻撃を専門に行うハイエンドのハッキンググループを発見したと発表しました。
カスペルスキーの専門家チームによると、この組織には世界中からメンバーが集まっており、それぞれが素晴らしいスキルを持ち、高度な攻撃を仕掛けることができるそうです。Kaba Labs のリサーチ・ディレクターである Costin Raiu 氏は、ロイター通信とのインタビューで、この組織は非常にプロフェッショナルであり、攻撃ごとに対応する契約を結んでおり、契約の要件を満たし、契約システムを厳格に遵守することができると記者団に語っています。研究者は、マルウェアのC&CサーバーのサンプルにIcefogという単語を発見しました。
Icefogグループの主な目的は、APT攻撃で政府機関や軍事機関を標的にし、そのネットワークに侵入して、F-16戦闘機で使用されているレーダー妨害システムやF-15のヘッドアップディスプレイなどの機密データを盗み出すことです。Icefogグループによる攻撃が確認されている組織は、電気通信事業者、衛星通信事業者、防衛関連企業などで、その典型的な例は、韓国や日本の防衛産業に製品データを提供しているSelectron Industrial社です。韓国や日本などの防衛産業への製品データ提供を専門とするSelectron Industrial社。カスペルスキーは、Icefogに関する詳細なレポートを発表しました。研究者は、攻撃者が使用したテクニックを理解するためにマルウェアのc&cサーバー内の情報を分析し、収集された情報と同様に被害者の一部を特定し、分析結果から得られたIPに基づいて、被害地域を以下の円グラフにまとめました。
さらに、Icefogの組織がよく使う手口として、ソーシャル・エンジニアリングのテクニックを使って被害者を欺くフィッシングがあります。下のイメージ
写真の人物は指原莉乃-HKT48のメンバー アタッカーが使用したエクスポーションがあります:
CVE-2012-5816
MSCOMCTL.OCX内の汎用コントロールであるTabStrip ActiveXコントロールの実装エラーを悪用し、特別に細工されたドキュメントやウェブページを介してシステム状態の破壊を引き起こすことで、メモリを破壊し任意のコードを実行させる可能性があります。詳しくはこちら CVE-2012-5108
MSCOMCTL.OCX のリモートコード実行の脆弱性。
CVE-2013-2402
CVE-2013-0422 は、ブラウザ Java プラグインの脆弱性で、Oracle JRE7 環境における com.sun.jmx.mbeanserver.MBeanInstantiator.findClass メソッドの脆弱性を悪用し、ハッカーが Java Security Manager を停止させ、任意の Java コードを実行する可能性があります。Manager をシャットダウンし、任意の Java コードを実行できるようになります。
CVE-2012-2713
Oracle Java SE の Java Runtime Environment コンポーネントの実装にセキュリティー上の脆弱性があり、リモートの認証されていない攻撃者に影響を与える可能性があります。
チームIcefogは、機密性の高いユーザー情報、文書、会社の開発設計図、電子メールアカウントなどを収集することを専門としており、Microsoft WindowsとMac OS Xの両方の攻撃スクリプトを含む、特別に作成されたバックドアツールキット - Fucobha - を使用しています。2012年末になると、Icefogチームはウェブ上でMac OS Xマルウェアの配布を開始し、http://... /?/.?=&;=&;=#70 のようなMac OS Xマルウェアをウェブ上で配布し始め、日本の多くのBSでも同様のマルウェアをリリースしました。
従来のAPTサイバースパイグループは、潜入する際、メンバーが多く、何ヶ月も何年もサーバーに潜伏することを好むことが多いのですが、Icefogはそれらとは異なるようで、複雑なプロセスはなく、機敏な潜入に重点を置き、人数は非常に少ないですが、全員がエリートで、組織は「ゲット・イット・アンド・ゲット・アウト」をモットーとし、必要なデータを入手した後、発見される可能性を最小限にするため、直ちに関連情報を破棄し、サーバーから退避します。この組織は、"入手したら持ち出す "というモットーを堅持し、必要なデータを入手したら、すぐに関連情報を破棄し、サーバーを退避させて、発覚する可能性を最小限に抑えます。また、彼らは必要なものを熟知しており、ファイル名を見るだけで必要なファイルかどうかを判断し、すぐにC&Cサーバーに転送することも多く、まさに火の目、一目で何をカップするかがわかると言えます。日本、日本、韓国に加えて、米国、オーストラリア、カナダ、イギリス、イタリア、ドイツ、オーストリア、シンガポール、ベラルーシ、マレーシアなどの他の国も組織の痕跡を残しています。
