新闻链接：http://www.secdr.com/dirs/5589.htm
新闻时间：2013.9.30
新闻正文：
近日，卡巴斯基实验室的研究人员发布报告，宣布发现一支专门发起APT攻击的高端黑客组织，该组织在2011年开始对日本以及韩国的政府机构、防务公司发起了APT攻击。
　　卡巴斯基专家小组称，该组织成员来自世界各地，每个成员都具有牛逼的技术，能够发起复杂的攻击。卡巴实验室研究主任Costin Raiu在接受路透社采访时候告诉记者，该组织非常专业，并且每次攻击都签订相应合同，能够履行合同中的要求，严格遵守合同制度。研究人员在恶意软件的c&c服务器样本中发现了Icefog的字样，C&C的软件被命名为“三尖刀”。
　　Icefog组织主要目标是针对政府和军事机构进行APT攻击，渗透他们的网络中来窃取敏感数据，如F-16战斗机使用的雷达干扰系统、F-15的抬头显示器等，目前已知到受到Icefog组织攻击的机构如电信运营商、卫星运营商、国防承包商等，其中典型的就是Selectron Industrial，该公司专门为韩国、日本等国的国防工业提供产品数据。
　　卡巴斯基发布了一份关于Icefog的详细报告，研究人员分析了恶意软件的c&c服务器中相关信息，了解到攻击者所使用的技术，确定了一些受害者以及收集到的信息，根据分析结果得出的IP，得出下面的受害地区饼状图，排名前三为中国、日本、韩国。
　　另外，Icefog组织常用的手段是利用社会工程学技巧来欺骗受害者，比如网络钓鱼，在攻击者使用特制的具有诱惑性的文件发给受害者。

　　攻击者利用的exp有：

　　CVE-2012-1856

　　MSCOMCTL.OCX内通用控件TabStrip ActiveX控件在实现上存在错误，通过特制的文档和Web页触发系统状态破坏，可被利用破坏内存，导致执行任意代码。更多查看这里。

　　CVE-2012-0158

　　MSCOMCTL.OCX远程代码执行漏洞。

　　CVE-2013-0422

　　CVE-2013-0422是一个存在于浏览器Java插件中的漏洞，利用了Oracle JRE7环境中的com.sun.jmx.mbeanserver.MBeanInstantiator.findClass方法中存在的漏洞使得黑客可以关闭Java Security Manager执行任意java代码。

　　CVE-2012-1723

　　Oracle Java SE (subcomponent: Hotspot)中的Java Runtime Environment组件在实现上存在安全漏洞，可允许远程未验证的攻击者影响。
等
　　Icefog团队擅长收集用户的敏感信息、文件、公司发展蓝图、邮件帐户等，并且使用一个特制的后门工具包-Fucobha，其中包含了Microsoft Windows和Mac OS X的攻击脚本。在2012年年底的时候，Icefog团队开始在网络发布Mac OS X恶意软件，如http://bbs.pcbeta.com/forum.php?mod=viewthread&tid=1157944&page=1#pid30109870，并且在中国很多BBS发布了类似的恶意软件。
　　传统的APT网络间谍团体，往往成员比较多，渗透的时候喜欢隐藏在服务器几个月或者几年，而Icefog似乎与他们有所不同，没有复杂的流程，讲究敏捷性渗透，人数非常少，但都是精英，该组织遵守一个口号“拿到就闪”，获得了需要的数据之后，立刻销毁相关信息，撤离该服务器，尽量减少被发现的几率。并且他们非常清楚他们需要什么，往往只需要看到文件名就确定该文件是否需要，并且立刻转移到C&C服务器，真可谓火眼金睛，一眼就能看出你啥罩杯。

　　除了中国、日本、韩国之外，其他国家比如美国、澳大利亚、加拿大、英国、意大利、德国、奥地利、新加坡、白俄罗斯、马来西亚也留下了该组织的踪迹。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课