黑客使用新的 IceBreaker 恶意软件破坏游戏公司

VSole2023-02-03 09:59:25

黑客一直以在线游戏和赌博公司为目标,研究人员将其命名为 IceBreaker,这似乎是一个以前看不见的后门。

妥协方法依赖于诱骗客户服务代理打开威胁参与者以用户面临问题为幌子发送的恶意屏幕截图。

此类袭击至少从 2022 年 9 月开始就一直在发生。他们背后的组织仍然不为人知,模糊的线索指向他们的起源。

事件响应公司 Security Joes 的研究人员认为,IceBreaker 后门是一个新的高级威胁行为者的作品,它使用“一种非常特殊的社会工程技术”,可以更清楚地了解他们是谁。

在分析了 9 月份发生的一起事件的数据后,Security Joes 能够在黑客攻破目标之前对其他三起攻击做出响应。

研究人员表示,他们能找到的 IceBreaker 威胁演员的唯一公开证据是10 月份来自 MalwareHunterTeam的一条推文。

为了提供后门,威胁行为者联系目标公司的客户支持,假装是登录或注册在线服务时遇到问题的用户。

黑客说服支持代理下载一张图像,该图像比他们无法解释的更好地描述了问题。研究人员表示,该图片通常托管在一个冒充合法服务的虚假网站上,尽管他们也看到它是从 Dropbox 存储中传送的。

IceBreaker 作案手法

SecurityJoes 表示,它检查的威胁参与者与支持人员之间的对话表明,IceBreaker 的母语不是英语,而是故意要求与讲西班牙语的人员交谈。然而,他们也被看到说其他语言。

Ice Breaker 用法语与支持人员聊天 

以这种方式提供的链接指向一个 ZIP 存档,其中包含获取 IceBreaker 后门的恶意 LNK 文件,或者一个 Visual Basic 脚本,该脚本下载 至少自 2013 年以来一直活跃的Houdini RAT 。

如下图所示,Windows 快捷方式文件的图标已更改为看起来无害。该快捷方式包含一个命令,用于从攻击者的服务器下载 MSI 负载,无需用户交互即可安装,并在没有用户界面的情况下运行。

LNK 文件 (Screenshot.jpg) 属性

Security Joes 研究人员表示,下载的恶意软件是“一个高度复杂的编译 JavaScript 文件”,可以发现正在运行的进程,窃取密码、cookie 和文件,为攻击者打开代理隧道,以及运行从攻击者的服务器检索的脚本.

恶意 LNK 是传递 IceBreaker 恶意软件的主要第一阶段有效负载,而 VBS 文件用作备份,以防客户支持操作员无法运行快捷方式。

恶意快捷方式文件伪装成JPG图片,并相应修改扩展名。它下载的 MSI 负载对 Virus Total 的检测率非常低,在 60 次扫描中仅返回 4 个阳性。

MSI 软件包具有大量诱饵文件,可以逃避基于签名的检测工具和分析引擎。最后一层是提取到受害者临时文件夹中的 CAB 存档,并释放“Port.exe”有效负载。

Security Joes 说这是一个 C++ 64 位可执行文件,带有不寻常的覆盖层,将一部分数据附加到文件末尾。分析师认为这是一种从安全产品中隐藏额外资源的方法。

Port.exe 文件属性

经过进一步分析,Security Joes 认为该样本是一个以前看不见的用 Node.js 编写的模块后门,为威胁参与者提供了以下功能:

  • 通过扩展恶意软件内置功能的插件进行定制。
  • 过程发现。
  • 从本地存储中窃取密码和 cookie,尤其是 Google Chrome。
  • 启用 Socks5 反向代理服务器。
  • 通过在 Windows 启动文件夹中创建一个新的 LNK 文件 (WINN.lnk) 来建立持久性。
  • 通过网络套接字将文件泄露到远程服务器。
  • 运行自定义 VBS 脚本。
  • 截图。
  • 生成远程 shell 会话。

如果目标实体没有将客户支持服务外包给外部提供商,威胁行为者可以使用后门窃取帐户凭据,在网络中横向移动,并扩大入侵范围。

目前,人们对 IceBreaker 组织知之甚少,但 Security Joes 决定发布一份关于他们调查结果的报告,并分享所有捕获的 IoC(妥协指标),以帮助防御者检测和应对这一威胁。

研究人员发布了一份技术报告,描述了威胁行为者的作案手法及其后门的工作原理。YARA 规则也已发布,以帮助组织检测恶意软件。

此外,Security Joes 建议怀疑 IceBreaker 存在漏洞的公司查找在启动文件夹中创建的快捷方式文件,并检查开源工具 tsocks.exe 是否未经授权执行。

监视接收 URL 作为参数的msiexec.exe进程的创建也可能是妥协的迹象,就像从临时文件夹执行 VBS 脚本和 LNK 文件一样。

https://www.securityjoes.com/post/operation-ice-breaker-targets-the-gam-bl-ing-industry-right-before-it-s-biggest-gathering

软件黑客
本作品采用《CC 协议》,转载必须注明作者和本文链接
到目前为止,已经确定了六个不同的恶意软件变种。使用 AuKill 的威胁分子在攻击期间充分利用了现有的特权,他们通过其他手段获得了这些特权。2022 年 11 月,Sophos 也详细披露了 LockBit 加盟组织使用一种名为 Backstab 的开源工具,该工具滥用这个驱动程序的过时版本来终止受保护的反恶意软件进程。
暴露在互联网上的未修补的 Citrix NetScaler 系统正被未知威胁行为者作为目标,这被怀疑是勒索软件攻击。
近日,VMware (VMW.N) ESXi 服务器的全球勒索软件黑客攻击已将数千台计算机服务器作为目标。
近三个月前,WannaCry勒索软件关闭了世界各地的医院、电信提供商和许多企业,感染了150多个国家的数十万台计算机,对文件进行加密,然后向受害者收取300至600美元的密钥费用。根据追踪WannaCry赎金支付的Twitter机器人,只有338名受害者支付了300美元的比特币,总计14万美元。虽然大多数受影响的组织现已恢复正常,但世界各地的执法机构仍在追捕中。
澳大利亚内政部长 Clare O’Neil 表示政府考虑将向勒索软件黑客支付赎金列为非法行为。澳大利亚最大健康保险公司 Medibank 上个月遭到了勒索软件的攻击,攻击者窃取了近千万用户赎金,并按照每位用户数据一美元的价格勒索千万美元。
邮政警察正在调查有关意大利税务机构 l'Agenzia delle Entrate 成为网络攻击的受害者的报道,其中大约78千兆数据被盗。勒索软件黑客盯上意大利税务机关 意大利安莎社报道,据报道,这次攻击是由国际勒索软件黑客组织 LockBit 发起的。IT 安全公司 Swascan 表示,LockBit 在暗网上宣布,它已给内陆税收机构五天的时间支付赎金或查看被盗文件的公布。
2021年7月28日,国际网络安全媒体ThreatPost发布报告称,新出现的勒索软件黑客组织“Haron”和“BlackMatter”疑似与黑客组织“Avaddon”、“DarkSide”和“REvil”存在联系。
莫斯科最近开通了第一个缆车服务,在运行的几天后,缆车系统被黑客入侵,系统的主计算机感染了勒索软件黑客发送消息要求用比特币支付赎金,以解密缆车运营所需的所有电子文件,赎金的数额取决于对支付的反应速度。目前该缆车服务已关闭。
医疗行业网络安全建设长期面临挑战
VSole
网络安全专家