黑客使用新的 IceBreaker 惡意軟件破壞游戲公司 - 網安 - 專業的網絡安全產業、社區、知識平臺

黑客一直以在線游戲和賭博公司為目標，研究人員將其命名為 IceBreaker，這似乎是一個以前看不見的后門。

妥協方法依賴于誘騙客戶服務代理打開威脅參與者以用戶面臨問題為幌子發送的惡意屏幕截圖。

此類襲擊至少從 2022 年 9 月開始就一直在發生。他們背后的組織仍然不為人知，模糊的線索指向他們的起源。

事件響應公司 Security Joes 的研究人員認為，IceBreaker 后門是一個新的高級威脅行為者的作品，它使用“一種非常特殊的社會工程技術”，可以更清楚地了解他們是誰。

在分析了 9 月份發生的一起事件的數據后，Security Joes 能夠在黑客攻破目標之前對其他三起攻擊做出響應。

研究人員表示，他們能找到的 IceBreaker 威脅演員的唯一公開證據是10 月份來自 MalwareHunterTeam的一條推文。

為了提供后門，威脅行為者聯系目標公司的客戶支持，假裝是登錄或注冊在線服務時遇到問題的用戶。

黑客說服支持代理下載一張圖像，該圖像比他們無法解釋的更好地描述了問題。研究人員表示，該圖片通常托管在一個冒充合法服務的虛假網站上，盡管他們也看到它是從 Dropbox 存儲中傳送的。

IceBreaker 作案手法

SecurityJoes 表示，它檢查的威脅參與者與支持人員之間的對話表明，IceBreaker 的母語不是英語，而是故意要求與講西班牙語的人員交談。然而，他們也被看到說其他語言。

Ice Breaker 用法語與支持人員聊天

以這種方式提供的鏈接指向一個 ZIP 存檔，其中包含獲取 IceBreaker 后門的惡意 LNK 文件，或者一個 Visual Basic 腳本，該腳本下載至少自 2013 年以來一直活躍的Houdini RAT 。

如下圖所示，Windows 快捷方式文件的圖標已更改為看起來無害。該快捷方式包含一個命令，用于從攻擊者的服務器下載 MSI 負載，無需用戶交互即可安裝，并在沒有用戶界面的情況下運行。

LNK 文件 (Screenshot.jpg) 屬性

Security Joes 研究人員表示，下載的惡意軟件是“一個高度復雜的編譯 JavaScript 文件”，可以發現正在運行的進程，竊取密碼、cookie 和文件，為攻擊者打開代理隧道，以及運行從攻擊者的服務器檢索的腳本.

惡意 LNK 是傳遞 IceBreaker 惡意軟件的主要第一階段有效負載，而 VBS 文件用作備份，以防客戶支持操作員無法運行快捷方式。

惡意快捷方式文件偽裝成JPG圖片，并相應修改擴展名。它下載的 MSI 負載對 Virus Total 的檢測率非常低，在 60 次掃描中僅返回 4 個陽性。

MSI 軟件包具有大量誘餌文件，可以逃避基于簽名的檢測工具和分析引擎。最后一層是提取到受害者臨時文件夾中的 CAB 存檔，并釋放“Port.exe”有效負載。

Security Joes 說這是一個 C++ 64 位可執行文件，帶有不尋常的覆蓋層，將一部分數據附加到文件末尾。分析師認為這是一種從安全產品中隱藏額外資源的方法。

Port.exe 文件屬性

經過進一步分析，Security Joes 認為該樣本是一個以前看不見的用 Node.js 編寫的模塊后門，為威脅參與者提供了以下功能：

如果目標實體沒有將客戶支持服務外包給外部提供商，威脅行為者可以使用后門竊取帳戶憑據，在網絡中橫向移動，并擴大入侵范圍。

目前，人們對 IceBreaker 組織知之甚少，但 Security Joes 決定發布一份關于他們調查結果的報告，并分享所有捕獲的 IoC（妥協指標），以幫助防御者檢測和應對這一威脅。

研究人員發布了一份技術報告，描述了威脅行為者的作案手法及其后門的工作原理。YARA 規則也已發布，以幫助組織檢測惡意軟件。

此外，Security Joes 建議懷疑 IceBreaker 存在漏洞的公司查找在啟動文件夾中創建的快捷方式文件，并檢查開源工具 tsocks.exe 是否未經授權執行。

監視接收 URL 作為參數的msiexec.exe進程的創建也可能是妥協的跡象，就像從臨時文件夾執行 VBS 腳本和 LNK 文件一樣。

https://www.securityjoes.com/post/operation-ice-breaker-targets-the-gam-bl-ing-industry-right-before-it-s-biggest-gathering