黑客使用新的IceBreaker惡意軟件攻擊博彩公司
黑客們近期一直在攻擊在線博彩公司,他們使用了一種似乎前所未見的后門,研究人員將其命名為IceBreaker(“破冰船”)。
這種攻擊方法依賴這種手段:威脅分子以面臨問題的用戶為幌子,欺騙客戶服務工作人員打開他們發送的惡意截圖。
這種攻擊至少從2022年9月以來就出現了。其背后的組織依然身份不明,只有依稀模糊的線索指明其源頭。
事件響應公司Security Joes的研究人員認為,IceBreaker后門是一個新的高級威脅團伙的杰作,他們使用了“一種非常特別的社會工程伎倆技術”。如果深入分析這種技術,有望更清楚地了解這伙人是誰。
Security Joes在分析了來自去年9月份發生的一起事件的數據后,搶在這伙黑客攻陷目標之前成功應對了另外三起攻擊。
欺騙客戶服務
為了投放后門,威脅分子冒充是用戶,聲稱登錄或注冊在線服務遇到了問題,于是聯系目標公司的客戶支持人員。
黑客說服支持工作人員下載一個圖片,聲稱該圖片可以更清楚地描述問題。研究人員表示,該圖片通常托管在一個冒充合法服務的虛假網站上,不過他們還發現該圖片來自Dropbox存儲平臺。
圖1. IceBreaker的作案手法(圖片來源:Security Joes)
Security Joes表示,他們仔細分析了威脅分子與支持工作人員之間的對話,結果發現IceBreaker的母語不是英語,卻故意要求與說西班牙語的工作人員交談。然而研究人員發現,他們還說其他語言。
圖2. IceBreaker使用法語與工作人員聊天(圖片來源:Security Joes)
以這種方式投放的鏈接會導致一個含有惡意LNK文件的ZIP壓縮包,該惡意文件獲取IceBreaker后門,這其實是一個Visual Basic腳本,下載至少自2013年以來就一直處于活躍狀態的Houdini遠程訪問木馬(RAT)。
如下圖所示,Windows快捷方式文件的圖標已被更改,使其看起來沒有什么害處。該快捷方式包含從攻擊者的服務器下載MSI載荷的命令,在沒有用戶交互的情況下安裝載荷,并在沒有用戶界面的情況下運行它。
圖3. LNK文件(Screenshot.jpg)的屬性(圖片來源:Security Joes)
Security Joes的研究人員表示,下載的惡意軟件是“一個高度復雜的編譯過的JavaScript文件”:除了運行從攻擊者的服務器獲取的腳本外,該文件還可以發現運行中的進程,竊取密碼、cookie和文件,并為攻擊者打開代理隧道。
IceBreaker后門
惡意LNK是投放IceBreaker惡意軟件的主要第一階段載荷,而VBS文件被用作后備手段,以防客戶支持人員無法運行快捷方式文件。
這個惡意快捷方式文件冒充是JPG圖片,并相應地修改了其擴展名。它下載的MSI載荷在Virus Total在線掃描平臺上的檢測率非常低,在60次掃描中只有4次被檢測出來。
MSI包里面有一大堆的誘餌文件,以逃避基于特征碼的檢測工具和分析引擎。最后一層是提取到受害者臨時文件夾中的CAB壓縮包,負責投放“Port.exe”載荷。
Security Joes表示,這是一個C++ 64位可執行文件,有不同尋常的覆蓋層,保留了附加到文件末尾的部分數據。分析人員認為,這是一種隱藏額外資源以免被安全產品發現的方法。
圖4. Port.exe文件的屬性(圖片來源:Security Joes)
Security Joes在進一步分析后發現,該樣本是一個前所未見的用Node.js編寫的模塊后門,為威脅分子提供了以下功能:
? 通過擴展惡意軟件內置功能的插件進行定制。
? 發現進程。
? 從本地存儲環境竊取密碼和cookie,特別是谷歌Chrome。
? 啟用Socks5反向代理服務器。
? 通過在Windows啟動文件夾中創建一個新的LNK文件(WINN.lnk),實現持久性。
? 通過web套接字將文件泄露到遠程服務器。
? 執行自定義VBS腳本。
? 獲取屏幕截圖。
? 生成遠程shell會話。
如果被攻擊的對象沒有將客戶支持服務外包給外部提供商,威脅分子就可以使用該后門竊取帳戶憑據、在網絡中橫向移動,并擴大入侵范圍。
目前關于IceBreaker組織的信息還不多,但Security Joes決定發布分析報告,并披露所有已獲取的攻陷指標(IoC),以幫助防御者發現和應對這個威脅。
研究人員已經發布了一份技術報告,描述了這伙威脅分子的作案手法及其后門的工作機理。YARA規則也已發布,以幫助組織檢測惡意軟件。
此外,Security Joes建議懷疑遭到了IceBreaker攻擊的公司尋找在啟動文件夾中創建的快捷方式文件,并檢查未授權執行開源工具tsocks.exe的情形。
應密切關注msiexec.exe進程的創建(這也是一種攻陷指標),該進程接收URL作為參數,還應密切關注從臨時文件夾啟動的VBS腳本和LNK文件的執行。
