Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Представляйте решения на онлайн-конференции!

Вредоносное ПО ICEFOG снова появилось в арсенале киберпреступников

13/06/19

hack49Изначально ICEFOG использовался одноименной китайской APT-группой, деятельность которой специалисты «Лаборатории Касперского» описали еще в 2013 году. После публикации отчета ЛК группировка свернула свои операции, и ICEFOG исчез с киберпреступной арены. Однако, как оказалось, работа над вредоносом не прекращалась.

На конференции по ИБ, состоявшейся в Польше на прошлой неделе, исследовательница компании FireEye Чи-Энь Шэнь сообщила об обнаружении обновленных версий ICEFOG. Главные из них, ICEFOG-P и ICEFOG-M, использовались в атаках с 2014-го и 2018-го года соответственно. Обе версии являются прямыми «потомками» оригинального ICEFOG, а значит, на самом деле работа над вредоносом не прекращалась. Более того, Шэнь обнаружила ранее неизвестную версию ICEFOG для Mac.

Примечательно, что группировки, использующие новые версии ICEFOG, никак не связаны с одноименной APT-группой. Вредонос был обнаружен во множествах операций, проводимых разными группировками.

«Операции, проводимые в 2011-2014 годах, отличались последовательностью, что указывало на эксклюзивное использование вредоносного ПО одной группой. Новые варианты стали использоваться разными группами уже после кампании 2013 года. Я сравнила инфраструктуру, использовавшуюся в кампании 2013 года, с кампаниями после 2014 года и не смогла обнаружить связь», - сообщила исследовательница изданию ZDNet.

Каким образом вредонос оказался в арсенале множества группировок, Шэнь затрудняется сказать. Тем не менее, ранее ИБ-эксперты уже сталкивались с использованием одних и тех же инструментов разными китайскими группировками.

Новые варианты ICEFOG были обнаружены в атаках на европейскую сельско-хозяйственную компанию, правительственные и финансовые организации, а также СМИ в России и Монголии (операция TOPNEWS), правительственные учреждения пост-советских стран (Roaming Tiger), казахских должностных лиц (APPER) и пр. В 2018-2019 годах вредонос использовался в атаках на турецкие и казахские организации (операция SKYLINE).

Темы:УгрозыAPT-группыЛК
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
3 апреля. Отечественные ИT-платформы и ПО для объектов КИИ
Участвуйте!

Еще темы...

More...