Hooepage Cybersecuritv Cyberpace Menschen
Nachrichtendienste kybernetische Waffen Bildung
 kyb. Waffen Waffenkategorie Spionage Sabotage Schläfer Spezialwaffen Analyse W.-Entwicklung Sonderwaffen Katalog
Roter Oktober  T u r l aSlingshot Slingshor V i p e r  Agent.Btx  Bundestrojaner  Conficker  ChameleonD u Q Flame Gauss   Mini Flame FrameGaussIcefogMahdiMask/ CaretoMini DukeObad aReginD u q
Die kybernetischen Kampfmittel

Die kybernetischen Waffen

Aufklärungs und Spionagewaffen

Icefog

- Häufig gestellte Fragen

- Presseinformation (2)

- ...

- ...

- ...

 

 
 
, 尖刀三号
Quelle :Securelist
Übersetzung : deutsch
Original : english english Übersetzt mit Google

Die Icefog APT: Häufig gestellte Fragen

Von GReAT am 26. September 2013 03.03 Uhr
Publikationen

Tweet
APT CYBER-SPIONAGE KEYLOGGER GEZIELTE ANGRIFFE SCHWACHSTELLEN UND EXPLOITS ZERO-DAY-SCHWACHSTELLEN
Hier finden Sie Antworten auf die am häufigsten gestellten Fragen im Zusammenhang mit Icefog, einem APT Betrieb Zieleinheiten in Japan und Südkorea.

Was genau ist Icefog?

Icefog bezieht sich auf einen Cyber-Spionage-Kampagne, die aktiv ist mindestens seit 2011 Es zielt auf Regierungseinrichtungen, militärische Auftragnehmer, See-und Schiffsbau-Gruppen, Telekommunikationsbetreiber, Satellitenbetreiber, Industrie-und Hochtechnologieunternehmen und Massenmedien, vor allem in Süd- Korea und Japan. Es ist wahrscheinlich, dass die Besatzung richtet Organisationen in der westlichen Welt als gut, wie die USA und Europa.

Wer sind die Opfer?

Im Moment sind wir nicht die Offenlegung der Namen der Opfer. Kaspersky Lab ist in Kontakt mit den Ziel Organisationen sowie Regierungsbehörden, um zu helfen, sie zu identifizieren und zu beseitigen, die Infektionen.

Was können Sie über die Ziele der Angriffe zu sagen?

Unsere technischen Forschung zeigt, die Angreifer waren daran interessiert, zielt auf eine Reihe von Unternehmen, vor allem in Süd-Korea, Taiwan und Japan. Dazu zählen Verteidigungsindustrie Auftragnehmer wie Lig Nex1 und Selectron Industrial Company, Schiffbau-Unternehmen wie DSME Tech, Hanjin Heavy Industries, Telekom-Betreiber wie Korea Telecom, Medien-Unternehmen wie Fuji-TV und der Japan-China Economic Association.
Die Tatsache, dass die Organisationen, oben, wurden gezielt nicht die Angriffe nicht, waren ebenfalls erfolgreich. Kaspersky Lab ist in Kontakt mit den Ziel Organisationen sowie Regierungsbehörden, um zu helfen, sie zu identifizieren und zu beseitigen, die Infektionen.
Einer der prominentesten Vorfälle, die diese Bedrohung Schauspieler beteiligt erfolgte im Jahr 2011, wenn die japanischen Repräsentantenhaus und der Haus der Räte infiziert waren

Kennen wir die Gesamtzahl der Opfer?

Wie üblich, ist es schwierig,-s eine genaue Schätzung der Zahl der Opfer zu bekommen. Wir sehen nur ein Teil der vollen Bild, das mehrere Dutzend Windows-Opfern und mehr als 350 Mac OS X Opfer zeigt. Es ist wichtig, darauf hinzuweisen, dass die überwiegende Mehrheit der Mac OS X-Opfer (95%) sind in China.

Warum nennen Sie es Icefog?

Der Name "Icefog" kommt von einem String in der Kommando-und Kontrollserver (C & C) Namen von einem der Malware-Proben, die wir analysiert eingesetzt. Wir haben auch bestätigt, dass die C & C-Software namens "Dolch Drei" ("尖刀 三号"), wenn übersetzt von der chinesischen Sprache.

Für den Kampfsport-Fans ", 尖刀三号" ist ähnlich wie "三尖刀", die eine alte chinesische Waffe ist.
Hinweis: Ein anderer Name für die Hintertür in dieser Angriffe verwendet wird, ist "Fucobha".

Was bedeutet Icefog tun?

In seinem Kern ist Icefog ein Backdoor, die als interaktive Spionagewerkzeug, das direkt von den Angreifern kontrolliert wird, dient. Es nicht automatisch Daten exfiltrate sondern wird manuell von den Angreifern betrieben werden, um Maßnahmen, die direkt auf den infizierten lebenden Systemen durchzuführen. Während Icefog Angriffe werden mehrere andere schädliche Tools und Backdoors der Opfer Maschinen für die seitliche Bewegung und Daten Exfiltration hochgeladen.

Wie funktioniert Icefog Computer infizieren?

Icefog wird, um Ziele über Speer-Phishing-E-Mails, die entweder können Anhänge oder Links zu bösartigen Websites verteilt. Die Angreifer einbetten Exploits für verschiedene bekannte Schwachstellen (zB. CVE-2012 bis 1856 und CVE-2012 bis 0158) in Microsoft Word und Excel-Dokumente. Sobald diese Dateien werden von der Ziel geöffnet wird, wird eine Hintertür in das System getropft und ein Köder Dokument wird dann an das Opfer zeigte.


Locken Dokument an die Opfer nach der erfolgreichen Ausführung des Exploits gezeigt.
Neben den Office-Dokumente, die Angreifer nutzen bösartige Seiten mit JAVA-Exploits (CVE-2013 bis 0422 und CVE-2012 bis 1723) und bösartigen HWP und HLP-Dateien.
Hinweis 1: Oracle hatte die Patches veröffentlicht sowohl für JAVA nutzt auf 20. Januar 2013 und 12. Juni 2012 auf.
Hinweis 2: "HWP" sind Dokument-Dateien von Hangul Word Processor verwendet. Laut Wikipedia Hangul (auch als Hangul Word Processor oder HWP) ist ein von der südkoreanischen Firma Hancom Inc. Es wird weitgehend in Südkorea eingesetzt veröffentlicht proprietären Textverarbeitungsprogramm, vor allem durch die Regierung.

Sind die Angreifer mit keine Zero-Day-Schwachstellen?

Wir haben nicht die Verwendung von Zero-Day-Schwachstellen gestoßen. Wir können jedoch nicht vollständig ausgeschlossen werden, dass ungepatchte Sicherheitslücken in Software kann gezielt werden.
Auf eines der Opfer, beobachteten wir, was es schien die Verwendung eines Kernel Exploit durch eine Java-Anwendung für das, was es schien, zu einer Eskalation der Privilegien sein, obwohl wir nicht wissen, ob es eine Zero-Day-oder nicht, wie die Datei von den Angreifern nach Gebrauch gelöscht.
Ist das eine reine Windows-Drohung? Welche Versionen von Windows werden gezielt? Gibt es Mac OS X oder Linux-Varianten?
Es gibt sowohl Windows und OS X Varianten Icefog. Die Windows-Maschinen werden durch "hit and run" gezielten Angriffen infiziert. Die Angreifer kommen, stehlen, was sie wollen und gehen. Die Mac OS X-Maschinen wurden durch eine andere Methode in was schien, ein "Beta-Testphase" des Mac OS X Hintertür sein infiziert.
Haben Sie irgendwelche Anzeichen einer mobilen Komponente v iOS, Android oder Blackberry gesehen?
Obwohl wir vermuten eine mögliche Android-Variante, wir haven-t in der Lage gewesen, um es noch zu finden.

Was passiert nach einem Zielrechner infiziert ist?

Sobald die Hintertür wird auf die Maschine fallen gelassen, es funktioniert wie ein ferngesteuertes Trojan mit vier Grund Cyber-Spionage-Funktionen:
Entführt und Uploads Grundinformationen zum System, um C & C-Servern gehört und von den Angreifern kontrolliert.
Ermöglicht es, die Angreifer auf dem infizierten System zu schieben und Befehle.
Stehlen und Upload von Dateien von den Opfern zu den Command-and-Control-Server. 
Downloads Dateien (Werkzeuge) aus den C & C-Server auf den infizierten Computern.
Ermöglicht die Angreifer direkt SQL-Befehle auf allen MSSQL-Server im Netzwerk.

Wie unterscheidet sich von jedem anderen APT-Angriff?

In der Regel ist jede APT-Angriff anders und einzigartig in seinen eigenen Stil. Im Falle der Icefog, gibt es bestimmte charakteristische Merkmale, die es abgesehen:
Konzentrieren sich fast ausschließlich auf Südkorea und Japan Ziele.
Diebstahl-Dateien ist nicht automatisiert, sondern die Angreifer sind Verarbeitungs Opfer einer nach dem anderen - sie suchen und kopieren Sie nur relevante Informationen.
Web-basierte Kommando-und Kontroll Implementierung mit .NET.
Kommando-und Kontrollprotokolle zu erhalten volle Attacke mit jedem einzelnen Befehl ausgeführt von den Angreifern auf ihre Opfer gefüllt.
Verwendung von HWP-Dokumente mit Exploits.
Mehrere hundert Mac OS X-Infektionen.

Wie sind Sie sich dieser Gefahr bewusst? Die berichteten, es?

Im Juni 2013, einen gezielten Angriff Probe gegen Fuji TV erhalten wir. Der Speer-Phishing-E-Mail enthielt einen bösartigen Anhang, der die Icefog Malware gesunken. Bei der weiteren Analyse identifizierten wir andere Varianten und Mehrfach Speer-Phishing-Attacken.
Während die Analyse der neuen Angriff, wurde es offensichtlich, das war eine neue Version der Malware, die das japanische Parlament im Jahr 2011 angegriffen . Sichts der Bedeutung des Angriffs, haben wir beschlossen, eine gründliche Untersuchung zu tun.

Wie viele Varianten von Icefog gibt es? Gibt es große Unterschiede in den Varianten?

Es gibt mehrere Varianten, die in den Jahren erstellt wurden. Während unserer Analyse haben wir festgestellt:
Die "alte" 2011 Icefog - die gestohlenen Daten per E-Mail sendet; Diese Version wurde gegenüber dem japanischen Parlament im Jahr 2011 verwendet.
Geben Sie "1" "normal" Icefog - die mit C2-s interagiert.
Geben Sie "2" Icefog -, die mit einem Proxy, der Befehle von den Angreifern leitet interagiert.
Geben Sie "3" Icefog - wir don-t haben eine Probe, aber wir beobachten eine bestimmte Art von C2, die eine andere Kommunikationsmethode verwendet; wir vermuten, es gibt Opfer, die diese Malware haben.
Typ "4" Icefog - gleiche Situation als "Typ 3".
Icefog -NG -, die durch direkte TCP-Verbindung auf Port 5600 der C2 kommuniziert.
Ist die Kommando-und Kontrollserver von Icefog verwendet immer noch aktiv?Haben Sie in der Lage, eine der C & Cs Sinkhole gewesen?
Ja, es gibt mehrere aktive Icefog C & C-S im Moment mit Live Opfer verbindet sie. Wir waren auch in der Lage, mehrere Domains von Icefog verwendet Sinkhole und Statistiken über die Opfer. Insgesamt beobachteten wir mehr als 3600 einzigartige infizierte IPs und mehrere hundert Opfer. Die vollständigen Doline Statistiken sind in unserem Icefog Papier.

Was genau wird von den Zielmaschinen gestohlen?

Die Angreifer stehlen verschiedene Arten von Informationen, einschließlich:
Sensible Dokumente und Unternehmensplänen.
E-Mail-Konto-Anmeldeinformationen.
Passwörter für verschiedene Ressourcen zugreifen innerhalb und außerhalb der Opfer-s Netzwerk.

Ist das ein Nationalstaat gesponserte Angriff?

Es gibt keine konkreten Beweise, um zu bestätigen das war ein Nationalstaat gefördert Betrieb. Die einzige Möglichkeit, Gegner Gruppen unterscheiden, ist durch die Ermittlung ihrer Motivationen im Rahmen der Kampagne.
APTs kann jede Organisation oder Unternehmen wertvolle Daten gezielt, ob es ein Nationalstaat gefördert Cyber-Spionage / Überwachungsoperation oder eine finanziell motivierte Cyber-kriminellen Betrieb sein. Basierend auf der Analyse und der Topologie von Opfern, konnte die Angreifer sein Umwandlung gestohlenen Daten in Geld oder ihn für Cyber-Spionage Zwecke.
Der "hit and run" Natur dieser Operation ist eines der Dinge, die es ungewöhnlich zu machen. Während in anderen Fällen bleiben die Opfer für Monate oder sogar Jahre infiziert und Daten kontinuierlich exfiltrated, erscheinen die Icefog Angreifer sehr gut, was sie von den Opfern müssen wissen. Sobald die Informationen erhalten hat, wird das Opfer aufgegeben.
In den vergangenen Jahren konnten wir eine starke Zunahme in der Anzahl der APTs die so ziemlich Schlagen alle Arten von Opfer und Sektoren. Im Gegenzug wird dies mit einem erhöhten Fokus auf sensible Informationen und Unternehmens Cyber-Spionage gekoppelt.
In der Zukunft erwarten wir die Zahl der kleinen, konzentrierten APT-to-hire Gruppen zu wachsen, spezialisiert auf Hit-and-run-Operationen.

Wer ist verantwortlich?

Namensnennung Informationen über Icefog ist durch unsere privaten Bericht für Regierung und den Strafverfolgungspartner zur Verfügung zur Verfügung.
Zusätzlich zu Japan und Südkorea, gibt es Opfer in einem anderen geografischen Standort?
Ja, viele Opfer beobachteten wir in einigen anderen Ländern, darunter Taiwan, Hong Kong, China, USA, Australien, Kanada, Großbritannien, Italien, Deutschland, Österreich, Singapur, Weißrussland und Malaysia. Wir glauben jedoch, dass diese Liste von Ländern möglicherweise nicht die wahre Interesse der Angreifer darstellen. Einige der Proben wurden über öffentlich zugängliche Webseiten verteilt und konnte zufällige Opfer von jedem Land der Welt zu schlagen. Wir glauben, dass getan wurde, um die Malware in verschiedenen Umgebungen zu untersuchen und testen ihre Leistungsfähigkeit.

Wie lange haben die Angreifer aktiv gewesen?

Icefog aktiv war mindestens seit 2011 gezielt meist Südkorea und Japan. Bekannte Ziele sind staatliche Institutionen, Militärfirmen, maritime / Schiffbau Gruppen, Telekom-Betreiber, Industrie-und Hochtechnologieunternehmen und Massenmedien.
Haben die Angreifer verwenden einige interessante / fortgeschrittenen Technologien?
Die Kommando-und Kontroll sind ungewöhnlich in ihrem umfangreichen Gebrauch von AJAX-Technologien, so dass sie grafisch verlockend und einfach zu bedienen. Opfer anzugreifen, verwendet die Icefog Angreifer häufig HWP Dokumente, die eine ungewöhnliche und seltene Form des Angriffs sind, teils, weil die HWP Produkt wird fast ausschließlich in Korea verwendet.
Ein eines der Opfer, beobachteten wir, was es schien die Verwendung eines Kernel Exploit durch eine Java-Anwendung für eine Eskalation der Privilegien sein, obwohl wir nicht wissen, ob es eine Zero-Day-oder nicht, wie die Datei nicht mehr zur Verfügung .

Hat Kaspersky Lab erkennen alle Varianten dieser Malware?

Ja, unsere Produkte zu erkennen und zu beseitigen alle Varianten der Malware in dieser Kampagne verwendet:
Backdoor.ASP.Ace.ah 
Backdoor.Win32.Agent.dcjj 
Backdoor.Win32.Agent.dcwq 
Backdoor.Win32.Agent.dcww 
Backdoor.Win32.CMDer.ct 
Backdoor.Win32.Visel.ars 
Backdoor.Win32.Visel.arx 
Exploit.MSWord.CVE-2010-3333.cg 
Exploit.MSWord.CVE-2010-3333.ci 
Exploit.MSWord.CVE-2012-0158.ae 
Exploit.MSWord.CVE-2012-0158.az 
Exploit.MSWord.CVE-2012-0158.bu 
Exploit.MSWord.CVE-2012-0158.u 
Exploit.Win32.CVE-2012-0158.j 
Exploit.Win32.CVE-2012-0158.u 
Exploit.WinHLP.Agent.d 
Trojan-Downloader.Win32.Agent.ebie 
Trojan-Downloader.Win32.Agent.gxmp 
Trojan-Downloader.Win32.Agent.gzda 
Trojan-Downloader.Win32.Agent.gznn 
Trojan-Downloader.Win32.Agent.tenl 
Trojan-Downloader.Win32.Agent.vigx 
Trojan-Downloader.Win32.Agent.vkcs 
Trojan-Downloader.Win32.Agent.wcpy 
Trojan-Downloader.Win32.Agent.wqbl 
Trojan-Downloader.Win32.Agent.wqdv 
Trojan-Downloader.Win32.Agent.wqqz 
Trojan-Downloader.Win32.Agent.xrlh 
Trojan-Downloader.Win32.Agent.xsub 
Trojan-Downloader.Win32.Agent.xyqw 
Trojan-Downloader.Win32.Agent.yavh 
Trojan-Downloader.Win32.Agent.yium 
Trojan-Dropper.Win32.Agent.gvfr 
Trojan-PSW.Win32.MailStealer.j 
Trojan-Spy.Win32.Agent.bwdf 
Trojan-Spy.Win32.Agent.bxeo 
Trojan.PHP.Agent.ax 
Trojan.Win32.Genome.ydxx 
Trojan.Win32.Icefog. *
Gibt es Indikatoren der Kompromiss (IOC) zu helfen, die Opfer identifizieren die Intrusion?
Ja, diese als Teil unserer freigegeben ausführlichen Bericht über Icefog .
https://securelist.com/analysis/publications/57892/the-icefog-apt-häufig gestellte-questions/