Evento virtual gratuito: Aprenda a mudança alavanca para melhor TI
Kaspersky Lab descobriu uma nova campanha APT visa furtos segredos de governos e da cadeia de suprimentos industriais, militares, meios de comunicação e empresas de tecnologia no Japão e na Coréia do Sul.
Icefog características muitos dos atributos-chave de ataques direcionados, incluindo o spear phishing email isca para ganhar uma posição na rede da vítima, o uso de malware que explora vulnerabilidades conhecidas, eo nabbing de credenciais de e-mail e senhas do sistema para mover-se lateralmente dentro da organização .
No entanto, quando Icefog difere é que os ataques são mais laser focalizado e mais curto do que viveu TPA típicos, de acordo com a Kaspersky Lab.
O vendedor tinha o seguinte em seu relatório :
Talvez um dos aspectos mais importantes do Icefog C & Cs é o "bater e correr" a natureza. Os atacantes se configurar um C & C, crie uma amostra de malware que usa-lo, atacar a vítima, infectá-lo, e se comunicar com a máquina da vítima antes de prosseguir. Os hospedagem compartilhada expiraria em um mês ou dois e C & C desaparece.
A natureza dos ataques também foi muito focado - em muitos casos, os agressores já sabia o que eles estavam procurando. Os nomes foram rapidamente identificados, arquivados, transferido para a C & C e, em seguida, a vítima foi abandonada.
Além disso, o backdoor Icefog set - criado para Windows e Mac - é diretamente controlada pelos atacantes e sua versão mais recente é "operada pelos atacantes para realizar ações diretamente sobre os sistemas vivos da vítima", ao invés de levantar automaticamente os dados, o relatório adicionado.
Depois sinkholing 13 dos domínios usados, Kaspersky disse que viu conexões provenientes de vítimas em uma série de países, incluindo os EUA, Canadá, Austrália e Reino Unido, mas a maioria se originou na Ásia.
Com base na análise mais confiável dos servidores C & C usados nos ataques direcionados, exemplos spear phishing e outros dados coletados durante a nossa investigação, acreditamos que os alvos principais das operações Icefog estavam na Coréia do Sul e Japão.
No total, o Kaspersky visto mais de 3.600 IPs infectados originais e várias centenas de vítimas.
A quadrilha Icefog aparentemente tentou bater empreiteiros da defesa Lig nex1 e Selectron; empresa de construção naval como DSME Tecnologia; Hanjin Heavy Industries, operadoras de telecomunicações, como Korea Telecom, empresas de mídia, incluindo TV Fuji e da Associação Econômica Japão-China.
Kaspersky se recusou a dizer qual desses ataques foi bem sucedida, mas ele fez revelam que a quadrilha Icefog foi responsável por um ataque online em 2011 os membros da Dieta japonesa, que foi pensado na hora de vir da China.
Embora algumas mensagens e comentários de código em que o malware utilizados foram em chinês, o Kaspersky não quis culpar publicamente atores patrocinados pelo Estado a partir do Reino Médio, e afirmou que o grupo também foi baseado no Japão e na Coréia do Sul. ®
Nenhum comentário:
Postar um comentário