TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究ログ

IceFog (まとめ)

【辞書】

◆Icefog [マルウェア] (Malpedia)
https://malpedia.caad.fkie.fraunhofer.de/details/win.icefog

◆Icefog (Hetena)
http://d.hatena.ne.jp/keyword/Icefog


【概要】

項目 内容
攻撃組織 Icefog
組織規模 6~12名(傭兵的なグループ)
技術力 国家レベルのサイバー攻撃組織より劣る
攻撃対象国 日本、韓国
攻撃業種 軍事、造船、海運業務、コンピュータ、ソフトウェア
調査会社、通信事業者、衛星事業者、マスメディアおよびテレビ
攻撃期間 遅くとも2011年には活動を開始
OS 当初: Mac OS X, 2012~ Windowsも
拠点 中国、韓国、日本のうち1つ以上
国籍 中国人の可能性が最も高い
言語 少なくとも日本語と韓国語を解するメンバーを含んでいる


【ニュース】

◆Icefog Espionage Campaign is ‘Hit and Run’ Targeted Operation (threat post, 2013/09/25)
https://threatpost.com/icefog-espionage-campaign-is-hit-and-run-targeted-operation/102417
https://malware-log.hatenablog.com/entry/2013/09/25/000000_1

◆Icefog hit-and-run hackers uncovered in Asia (The Register, 2013/09/26)

Less persistent but more focused targeted attacks hit hundreds

http://www.theregister.co.uk/2013/09/26/icefog_hit_and_run_apt_japan_south_korea/
https://malware-log.hatenablog.com/entry/2013/09/26/000000_6

◆衆議院も攻撃か 傭兵ハッカー「アイスフォッグ」、異色の手口とは? (NewsSphere, 2013/09/26)
http://newsphere.jp/world-report/20130926-1/
https://malware-log.hatenablog.com/entry/2013/09/26/000000_3

◆日韓を狙う「サイバー雇い兵」に警戒を、中日韓を拠点に活動 (AFP BB News, 2013/09/26 15:05)
http://www.afpbb.com/article/environment-science-it/it/2970473/11413619
https://malware-log.hatenablog.com/entry/2013/09/26/000000_2

◆'Icefog' spying operation targeted Japan, South Korea (ComputerWorld, 2013/09/26 07:06)
https://www.computerworld.com/article/2485109/-icefog--spying-operation-targeted-japan--south-korea.html
https://malware-log.hatenablog.com/entry/2013/09/26/000000_2

◆ハッカー、日中韓に拠点と米社-11年の国会サイバー攻撃 (北國新聞, 2013/09/27 06:47)
http://www.hokkoku.co.jp/newspack/kokusai2013092701000659.html
https://malware-log.hatenablog.com/entry/2013/09/27/000000_2

◆防衛産業と国会議員のPCを攻撃、新種「サイバースパイ」の存在確認 (東亜日報, 2013/09/27 06:43)
http://japanese.donga.com/srv/service.php3?biid=2013092784818
https://malware-log.hatenablog.com/entry/2013/09/27/000000_3

◆国会サイバー攻撃、国際ハッカー集団が実行 日中韓に拠点 (産経Biz, 2013/09/27 09:10)
http://www.sankeibiz.jp/macro/news/130927/mcb1309270911023-n1.htm
https://malware-log.hatenablog.com/entry/2013/09/27/000000_4

◆ハッカー、日中韓に拠点 米情報セキュリティー会社が調査報告 (日経新聞, 2013/09/27 10:26)
http://www.nikkei.com/article/DGXNASGM2700S_X20C13A9EB1000/
https://malware-log.hatenablog.com/entry/2013/09/27/000000_2

◆日本や韓国を拠点に活動する攻撃グループ「IceFog」を確認、Kaspersky報告 (Internet Watch, 2013/09/27 12:52)
http://internet.watch.impress.co.jp/docs/news/20130927_617137.html
https://malware-log.hatenablog.com/entry/2013/09/27/000000_6

◆Kaspersky Lab、新たなサイバースパイ活動「Icefog」について警鐘 (マイナビニュース, 2013/09/27)
http://news.mynavi.jp/news/2013/09/27/249/
https://malware-log.hatenablog.com/entry/2013/09/27/000000_7

◆ハッカー、日中韓に拠点 2011年、日本の国会議員サイバー攻撃 (産経新聞, 2013/09/28 00:34)
http://sankei.jp.msn.com/world/news/130928/kor13092800350000-n1.htm
https://malware-log.hatenablog.com/entry/2013/09/28/000000

◆当て逃げハッカー集団 Icefog、アジアで発見される~「持続性は薄めだが、より標的を絞り込んだ急襲」が数百人の犠牲者に襲い掛かる(The Register) (NetSecurity, 2013/10/01)
http://scan.netsecurity.ne.jp/article/2013/10/01/32593.html
https://malware-log.hatenablog.com/entry/2013/09/27/000000_2

◆サイバースパイは日本の企業にも カスペルスキーが警告 (ASCII.jp, 2013/10/03 14:40)
http://ascii.jp/elem/000/000/830/830651/
https://malware-log.hatenablog.com/entry/2013/10/03/000000

◆日韓狙ったAPT攻撃「Icefog」に注意--急襲後、痕跡消して数日で立ち去る (ZDNet, 2013/10/04 16:10)
http://japan.zdnet.com/security/analysis/35038062/
https://malware-log.hatenablog.com/entry/2013/10/03/000000

◆日本企業をターゲットにした標的型攻撃「Icefog」 - Kasperskyが注意喚起 (マイナビニュース, 2013/10/05)
http://news.mynavi.jp/articles/2013/10/05/kaspersky/
https://malware-log.hatenablog.com/entry/2013/10/05/000000_1

◆短期攻撃を特徴とするAPT攻撃「Icefog」 (ITPro, 2013/10/09)
http://itpro.nikkeibp.co.jp/article/COLUMN/20131006/509242/?ST=security&P=2
https://malware-log.hatenablog.com/entry/2013/10/09/000000_1

◆Java Version of Icefog Espionage Campaign Hit 3 US Oil, Gas Companies (Threatpost, 2014/01/14 11:46)
http://threatpost.com/java-version-of-icefog-espionage-campaign-hit-3-us-oil-gas-companies/103567
https://malware-log.hatenablog.com/entry/2014/01/14/000000_4

◆Java 'Icefog' Malware Variant Infects US Businesses (Informa, 2014/01/15 13:40)

APT攻撃キャンペーンは、米国の石油会社と他の2つの組織を危険にさらすために、検出が難しいJavaバックドアを使用しています

https://www.darkreading.com/attacks-and-breaches/java-icefog-malware-variant-infects-us-businesses/d/d-id/1113451
https://malware-log.hatenablog.com/entry/2014/01/15/000000_3

◆Ancient ICEFOG APT malware spotted again in new wave of attacks (ZDNet, 2019/06/07 15:30)
https://www.zdnet.com/article/ancient-icefog-apt-malware-spotted-again-in-new-wave-of-attacks/
https://malware-log.hatenablog.com/entry/2019/06/07/000000_8


【ブログ】

◆The Icefog APT: A Tale of Cloak and Three Daggers (SecureList(Kaspersky), 2013/09/25 22:55)
https://securelist.com/the-icefog-apt-a-tale-of-cloak-and-three-daggers/57331/
https://malware-log.hatenablog.com/entry/2013/09/25/000000_1

◆The Icefog APT: A Tale of Cloak and Three Daggers (SECURELIST, 2013/09/26 05:02)
https://www.securelist.com/en/blog/208214064/The_Icefog_APT_A_Tale_of_Cloak_and_Three_Daggers#page_top
https://malware-log.hatenablog.com/entry/2013/09/26/000000_4

◆Hunting the ICEFOG APT group after years of silence (SecurityAffairs, 2019/06/08)
https://securityaffairs.co/wordpress/86826/apt/icefog-apt-group-return.html
https://malware-log.hatenablog.com/entry/2019/06/08/000000

◆A New Wave of Attacks Takes Place with Ancient ICEFOG APT Malware (Koddos, 2019/06/09)
https://koddos.net/blog/a-new-wave-of-attacks-takes-place-with-ancient-icefog-apt-malware/
https://malware-log.hatenablog.com/entry/2019/06/09/000000_1


【資料】

◆THE ‘ICEFOG’ APT: A TALE OF CLOAK AND THREE DAGGERS (Kaspersky, 2013/09/26)
http://www.securelist.com/en/downloads/vlpdfs/icefog.pdf
https://malware-log.hatenablog.com/entry/2013/09/26/000000_5

◆攻撃者を知るためのインテリジェンスの活用 (2014/06/03)
http://malware-log.hatenablog.com/entry/2014/06/03/000000
https://malware-log.hatenablog.com/entry/2014/06/03/000000


【公開情報】

◆THE ‘ICEFOG’ APT: A TALE OF CLOAK AND THREE DAGGERS (Kaspersky, 2013/09/26)
http://www.securelist.com/en/downloads/vlpdfs/icefog.pdf
https://malware-log.hatenablog.com/entry/2013/09/26/000000_5

◆Зиянды БҚ мақсатты шабуылдардың компоненті болып табылатын (Targeted attacks, Advanced persistent threats (APT)) кезекті үлгісінің талдауы жүргізілді. (KZ-CERT, 2016/09/06)

標的型攻撃の次のバージョンである標的型攻撃のコンポーネントであるAdvanced Persistent Threats(APT)の分析が行われました。

http://www.kz-cert.kz/page/502
https://malware-log.hatenablog.com/archive/2016/09/06


【関連情報】

f:id:tanigawa:20160619072203p:plain
攻撃に使用されたメールのサンプル
出典: https://threatpost.com/icefog-espionage-campaign-is-hit-and-run-targeted-operation/102417/
f:id:tanigawa:20160619072453j:plain
攻撃に使用された画像ファイル
出典: https://securelist.com/blog/research/57331/the-icefog-apt-a-tale-of-cloak-and-three-daggers/#page_top


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019