Bilgisayar korsanları, araştırmacıların Icebreaker adlı daha önce görülmemiş bir arka kapı gibi görünen çevrimiçi oyun ve kumar şirketlerini hedefliyorlar.
Uzlaşma yöntemi, müşteri hizmetleri aracılarını, aktörün bir sorunla karşılaşan bir kullanıcının kisvesi altında gönderdiği kötü amaçlı ekran görüntüleri açmaya bağlıdır.
Bu tür saldırılar en azından Eylül 2022'den beri gerçekleşiyor. Arasındaki grup bilinmemektedir ve belirsiz ipuçları kökenlerine işaret ediyor.
Olay Yanıt Firması Güvenliği Joes'teki araştırmacılar, buz kırıcı arka kapının, kim olduklarının daha net bir resmine yol açabilecek "çok özel bir sosyal mühendislik tekniği" kullanan yeni bir gelişmiş tehdit aktörünün çalışması olduğuna inanıyor.
Eylül ayında bir olaydan elde edilen verileri analiz ettikten sonra, Security Joes, bilgisayar korsanları hedeflerini tehlikeye atmadan önce diğer üç saldırıya yanıt verebildi.
Araştırmacılar, bulabilecekleri buz kırıcı tehdit aktörünün tek kamu kanıtının Ekim ayında MalwareHunterteam'den bir tweet olduğunu söylüyor.
Arka kapıyı teslim etmek için, tehdit oyuncusu, çevrimiçi hizmete kaydolma veya kaydolma konusunda sorun yaşıyormuş gibi davranan hedef şirketin müşteri desteğiyle temasa geçer.
Bilgisayar korsanları, destek acentesini sorunu açıklayabileceklerinden daha iyi açıklayan bir görüntü indirmeye ikna eder. Araştırmacılar, görüntünün genellikle bir Dropbox depolamasından teslim edildiğini görmesine rağmen, meşru bir hizmeti taklit eden sahte bir web sitesinde barındırıldığını söylüyor.
SecurityJoes, tehdit oyuncusu ve destek ajanları arasında incelediği diyalogların Icebreaker'ın anadili İngilizce konuşmacı olmadığını ve kasıtlı olarak İspanyolca konuşan ajanlarla konuşmayı istediğini söylüyor. Ancak, başka diller de konuştular.
Bu şekilde teslim edilen bağlantılar, buz kırıcı arka kapıyı getiren kötü niyetli bir LNK dosyası veya en az 2013'ten beri aktif olan Houdini sıçanını indiren görsel bir temel komut dosyasına yol açan bir zip arşivine yol açar.
Aşağıdaki resimde görüldüğü gibi, Windows kısayol dosyasının simgesi zararsız görünmesi için değiştirildi. Kısayol, saldırganın sunucusundan bir MSI yükü indirmek, kullanıcı etkileşimi olmadan yüklemek ve kullanıcı arayüzü olmadan çalıştırmak için bir komut içerir.
Güvenlik Joes araştırmacıları, indirilen kötü amaçlı yazılımların, çalışan süreçleri keşfedebilen, şifreleri, çerezleri ve dosyaları çalabilen, saldırgan için bir proxy tüneli açabilen ve saldırganların sunucusundan alınan komut dosyalarını çalıştırabilen "son derece karmaşık derlenmiş bir JavaScript dosyası" olduğunu söylüyor. .
Kötü niyetli LNK, müşteri destek operatörünün kısayolu çalıştıramaması durumunda, VBS dosyası yedek olarak kullanılırken, buz kırıcı kötü amaçlı yazılımları sağlayan ana birinci aşama yüküdür.
Kötü niyetli kısayol dosyası JPG görüntüsü olarak poz verir ve uzantısının buna göre değiştirilmesi gerekir. MSI yükü indirmeleri, virüs toplamı üzerinde çok düşük bir algılama oranına sahiptir ve 60 taramadan sadece 4'ü döndürür.
MSI paketi, imza tabanlı algılama araçlarından ve analiz motorlarından kaçınmak için büyük bir tuzak dosyası kümesine sahiptir. Son katman, kurbanın geçici klasörüne çıkarılan ve "port.exe" yükünü düşüren bir taksi arşividir.
Security Joes, bunun, verilerin bir kısmını dosyanın sonuna eklenmiş tutarak olağandışı bir kaplamaya sahip bir C ++ 64 bit yürütülebilir olduğunu söylüyor. Analistler bunun güvenlik ürünlerinden ek kaynakları gizlemenin bir yolu olduğuna inanıyorlar.
Daha fazla analiz üzerine, Güvenlik Joes, numunenin Node.js ile yazılmış daha önce görünmeyen bir modül arka kapı olduğunu ve tehdit aktörlerine aşağıdaki özellikleri sağladığını düşündü:
Hedeflenen varlık, müşteri destek hizmetlerini harici bir sağlayıcıya dış kaynak kullanmazsa, tehdit aktörleri hesap kimlik bilgilerini çalmak, ağda yanal olarak hareket etmek ve müdahalelerini genişletmek için arka kapıyı kullanabilir.
Şu anda, Icebreaker Grubu hakkında çok fazla şey bilinmiyor, ancak Security Joes bulguları hakkında bir rapor yayınlamaya ve savunucuların bu tehdidi tespit etmesine ve üstesinden gelmelerine yardımcı olmak için yakalanan tüm IOC'leri (uzlaşma göstergeleri) paylaşmaya karar verdi.
Araştırmacılar, tehdit oyuncusunun modus operandi'sini ve arka kapılarının nasıl çalıştığını açıklayan bir teknik rapor yayınladılar. Kuruluşların kötü amaçlı yazılımları tespit etmesine yardımcı olmak için Yara kuralları da yayınlanmıştır.
Ayrıca, Security Joes, başlangıç klasöründe oluşturulan kısayol dosyalarını aramak ve açık kaynaklı araç tsocks.exe'nin yetkisiz yürütülmesini kontrol etmek için buz kırıcı ile bir ihlalden şüphelenen şirketlere önerir.
URL'leri parametre olarak alan msiexec.exe işlemlerinin oluşturulmasının izlenmesi, Tıpkı geçici klasörden VBS komut dosyalarının ve LNK dosyalarının yürütülmesi gibi bir uzlaşma göstergesi olabilir.
Ursnif kötü amaçlı yazılım, banka hesabı hırsızlığından başlangıç erişimine geçiş yapar
Uzaktan Erişim İçin Yeni Python Kötü Yazılım Backroors VMware ESXI Sunucuları
Kuzey Koreli bilgisayar korsanları iki aylık ihlalde araştırma verilerini çaldı
Yeni Headcrab kötü amaçlı yazılım, Monero'ya Minero'ya 1.200 Redis Sunucusuna Enfekte
Siber Stron Market'te Satılık 1.800'den fazla Android Kimlik Avı Formu
Kaynak: Bleeping Computer