Найти тему
official_xakep

Бэкдор Ice Breaker замечен в атаках на игровые компании

Хакеры атакуют компании, занимающиеся онлайн-играми и азартными играми, с помощью ранее неизвестного бэкдора, который исследователи назвали IceBreaker. Как правило, в начале атаки злоумышленники притворяются обычными пользователями и вынуждают операторов службы поддержки клиентов открыть вредоносный скриншот.

Исследователи из компании Security Joes, полагают, что бэкдор IceBreaker — это работа весьма продвинутых злоумышленников, которые используют «очень специфическую технику социальной инженерии».

Атаки с использованием этой малвари происходят с сентября 2022 года, но какая хак-группа стоит за ними, пока неясно. Исследователи говорят, что пока единственным публичным доказательством существования IceBreaker, которое они смогли обнаружить, вообще является твит MalwareHunterTeam, написанный в октябре прошлого года.

общая схема атаки
общая схема атаки

Для доставки бэкдора в сеть цели злоумышленники обычно обращаются в службу поддержки компании, выдавая себя за обычных пользователей, у которых возникли проблемы со входом в систему или регистрацией.

В ходе беседы хакеры убеждают специалиста поддержки загрузить изображение, которое якобы хорошо демонстрирует проблему. Такие изображения обычно размещаются на поддельном сайте, который выдает себя за какой-нибудь легитимный сервис, хотя иногда фейковые скриншоты доставляются и через Dropbox.

По словам исследователей, изучив диалоги между злоумышленником и пострадавшими операторами службы поддержки, можно прийти к выводу, что распространители IceBreaker не является носителями английского языка, а порой хакеры и вовсе просят предоставить им испаноязычных специалистов (хотя злоумышленники говорят и на других языках).

-2

Ссылки на фальшивые скриншоты обычно ведут к ZIP-архиву, содержащему вредоносный файл LNK (ярлыка Windows), который загружает в систему жертвы бэкдор IceBreaker или скрипт Visual Basic, который скачивает малварь Houdini RAT, активный как минимум с 2013 года.

Как видно на иллюстрации ниже, значок ярлыка Windows изменен таким образом, чтобы он выглядел максимально безобидно и походил на изображение. На самом деле, такой файл LNK содержит команду для загрузки полезной нагрузки MSI (всего 4 положительных результата из 60 сканирований на Virus Total) с сервера злоумышленников, а также последующей установки и запуска пейлоада без взаимодействия с пользователем.

-3

В отчете поясняется, что вредоносный файл LNK является основной полезной нагрузкой первого этапа доставки IceBreaker, а файл VBS используется в качестве резервной копии тот на случай, если оператор службы поддержки не сможет запустить ярлык.

В свою очередь, пейлоад MSI содержит большой набор файлов-обманок для обхода сигнатурных средств обнаружения и аналитических систем.

Последним слоем такой атаки выступает CAB-архив, распаковываемый во временную папку и содержащий полезную нагрузку Port.exe. Это 64-битный исполняемый файл, написанный на C++, с необычным наложением, сохраняющим часть данных в конец файла. Аналитики считают, что это способ скрыться от защитных решений.

-4

Загруженная в итоге малварь представляет собой «очень сложный файл JavaScript», который способен обнаруживать запущенные процессы, воровать пароли, cookie и другие файлы, открыть прокси-туннель для злоумышленников, а также запускать скрипты, полученные с управляющего сервера.

Так, модульный бэкдор, написанный на Node.js, предоставляет своим операторам следующие возможности:

  • персонализация с помощью плагинов, расширяющих исходные возможности малвари;
  • обнаружение процессов;
  • кража паролей и файлов cookie из локального хранилища, особенно из Google Chrome;
  • активация обратного прокси-сервера Socks5;
  • закрепление в системе путем создания нового LNK-файла (WINN.lnk) в папке автозагрузки;
  • передача файлов на удаленный сервер через веб-сокеты;
  • запуск кастомных скриптов VBS;
  • создание скриншотов;
  • создание удаленных sell-сессий.

В результате, если целевая организация не передала поддержку клиентов внешнему партнеру, хакеры внедряют и могут использовать свой бэкдор для кражи учетных данных, дальнейшего перемещения по сети и продолжения атаки.

Security Joes рекомендует компаниям, подозревающим, что они могли пострадать от атаки IceBreaker, обратить внимание на файлы ярлыков, созданные в папке автозапуска, а также проверить несанкционированные запуски опенсорсного инструмента tsocks.exe.