卡巴斯基实验室安全研究小组发表了一份最新的调查报告宣布，他们发现一种名为"Icefog"的针对韩国和日本目标进行攻击的小规模高级持续性威胁(APT)。这类攻击的主要针对西方企业的供应链。Icefog攻击从2011年开始，最近几年在规模和攻击范围上有所扩大。

“在过去几年中，我们看到大量高级持续性威胁(APT)攻击范围已经涵盖几乎各种目标和领域。很多情况下，攻击者会潜伏在企业和政府网络中数年，并将Tb字节的敏感信息窃取出来，”卡巴斯基实验室全球研究和分析团队总监Costin Raiu说，"Icefog"攻击具有游击性质，这表明一种新趋势的出现，即进行游击攻击的小规模攻击者会针对目标信息进行精准攻击。这类攻击通常持续数天或数周，一旦攻击者获取到需要的数据，会很快收拾好并离开。未来，我们预测此类小规模的可雇佣APT攻击团体数量会增加，这类攻击团体专门从事游击攻击，成为‘网络雇佣军’”。

主要发现

根据已确定的被攻击目标的资料，我们发现攻击者似乎对以下领域颇感兴趣，包括：军工、造船业和海事行动、计算机和软件开发、研发公司、电信运营商、卫星运营商、大众媒体以及电视广播领域。

研究显示，攻击者的攻击目标包括国防工业承包商，例如Lig Nex1和Selectron Industrial Company；造船公司，例如DSME Tech和Hanjin Heavy Industires；电信运营商，例如韩国电信公司；媒体公司，例如富士电视台。

攻击者会截获敏感数据、公司规划、电子邮件账号登录信息、用于访问被攻击对象内部和外部网络资源的密码。

攻击过程中，攻击者使用了"Icefog"后门程序集(又称为"Fucobha")。卡巴斯基实验室已经检测出针对Windows和Mac OS X操作系统的Icefog恶意程序。

在其他大多数APT攻击行动中，受害者一般会被感染数月甚至数年，攻击者会不断从受感染系统或网络窃取数据。而Icefog攻击者则会逐个对受攻击者实施攻击，并且只寻找和拷贝特定的目标信息。一旦获取到想要的信息，攻击者会立刻撤离。

大多数情况下，Icefog攻击者似乎对受攻击者很了解，知道从哪里获取何类数据。攻击者会查找特定的文件名，并将找到的文件迅速传输到命令和控制服务器。

攻击和功能

卡巴斯基实验室的研究人员对攻击者使用的70多个域名中的13个进行了“排污口”调查，根据统计数据得出全球受害者数量。此外，Icefog的命令和控制服务器对其攻击目标日志和其他攻击行动日志文件进行了加密。这些日志文件能够帮助确认攻击目标，有些还能够确认受害者身份。除了日本和韩国多家公司和组织遭遇攻击外，还有很多源自其他国家和地区的“排污”连接，其中包括台湾、香港、中国、美国、澳大利亚、加拿大、英国、意大利、德国、奥地利、新加坡、白俄罗斯和马来西亚。总体来看，卡巴斯基实验室监测到超过4,000个被感染IP和数百个被攻击者(几十个Windows被攻击者和超过350个Mac OS X被攻击者)。

根据用于监控和控制受感染基础设施的IP地址，卡巴斯基实验室的专家推测这类威胁攻击背后至少涉及三个国家，分别为中国、韩国和日本。

卡巴斯基实验室产品已经能够检测和清除所有Icefog恶意软件变种。

(责任编辑：安博涛)