Лаборатория Касперского опубликовала инормацию о APT Icefog

Хакерская группировка Icefog, названная так экспертами по имени ее собственного командного сервера, предположительно включает в себя участников из Китая, Южной Кореи и Японии. Китайский — основный язык, используемый участниками группировки, встречается как в сообщениях внутри программы и на командном сервере, так и в регистрационных данных доменов. Все хостинг-площадки серверов управления Icefog принадлежат китайским компаниям. Основными целями группы были компании-подрядчики оборонной отрасли (например, корейские Lig Nex1 и Selectron Industrial Company), предпрития судостроительной отрасли (DSME Tech, Hanjin Heavy Industries), морские грузоперевозчики, компании телеком-сектора (Korea Telecom), телекомпании (Fuji TV) и Японо-Китайская экономическая ассоциация. Громким инцидентом с участием Icefog стало заражение двух палат японского парламента в 2011 г. Помимо жертв в Японии и Южной Корее, целями группировки становились организации на Тайване, в Гонконге, Китае, США, Австралии, Канаде, Великобритании, Италии, Германии, Австрии, Сингапуре, Белоруссии и Малайзии. Установить точное количество жертв Icefog невозможно. Однако известно, что при точечных атаках были заражены несколько сотен пользователей операционной системы Windows и более 350 пользователей Mac OS X, причем 95% атакованных Mac-пользователей находятся в Китае. Обращения к командным серверам Icefog зафиксированы с более 3600 уникальных IP-адресов. Целью группировки было похищение внутренних документов, данных учетных записей почты, паролей, списков контактов и содержимого баз данных на взломанных ПК. В отличие от обычной практики кибершпионов, когда целевые ПК заражаются на продолжительное время, владельцы Icefog обходились нехарактерно быстрым обнаружением и копированием необходимых данных с компьютеров жертв. Icefog распространяется путем рассылки писем с вредоносными вложениями или со ссылками на вредоносные сайты. Злоумышленники внедряют эксплойты для известных уязвимостей в Microsoft Word и Excel: при открытии соответствующих документов MS Office в систему устанавливается бэкдор, и вместо первоначально открываемого файла пользователю предлагается вредоносный документ. Помимо документов Office для заражения использовались вредоносные сайты с эксплойтами для ныне закрытых уязвиостей Java и вредоносные файлы для Hangul Word Processor, национального корейского текстового редактора. Предположительно 350 зараженных Icefog компьютеров под управлением Mac OS X стали площадками для бета-тестирования бэкдора под эту операционную систему.

Подробности: securelist.com

Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s