Вредоносное ПО IceBreaker

Ice Breaker — это вредоносное ПО, написанное с использованием Node.js и работающее как бэкдор. Впервые он был обнаружен в 2022 году компанией Security Joes в кампаниях, нацеленных на сектор игр и азартных игр, которые были легко узнаваемы благодаря тактике социальной инженерии, используемой киберпреступниками.

Личность лиц, стоящих за атаками Ice Breaker, в настоящее время неизвестна и не связана с какой-либо конкретной хакерской группой или регионом. Однако есть данные, свидетельствующие о том, что они не являются носителями английского языка.

Кампании Ice Breaker начинаются с того, что преступники обращаются к управляемым людьми каналам поддержки игровых/гемблинговых платформ, показывая предпочтение представителям службы поддержки, которые плохо говорят по-английски. Злоумышленники делают ложные заявления о неудачных попытках входа в систему или регистрации новых учетных записей, отправляя предполагаемые «скриншоты» по ссылкам для скачивания.

Эти вредоносные файлы часто размещаются на поддельных файлообменниках, которые имитируют настоящие, но злоумышленники также использовали Dropbox. Цель состоит в том, чтобы заставить службу поддержки открыть файл, обычно файл LNK, который инициирует процесс поиска учетных данных и приводит к полному заражению Ice Breaker. В случае сбоя файла LNK злоумышленники прибегают к файлу VBS, который заражает устройства вредоносной программой DUNIHI.

Ice Breaker использует различные меры антианализа, чтобы избежать обнаружения и затруднить обратный инжиниринг. После успешного проникновения он может красть файлы, извлекать интернет-куки и учетные данные для входа в Chrome, а также делать снимки экрана.

Будущие версии Ice Breaker могут иметь дополнительные или другие возможности по мере обновления и дальнейшего развития вредоносного ПО.

Что такое акторы продвинутой постоянной угрозы или APT?

Усовершенствованные постоянные угрозы (APT) — это тип кибератаки, которая проводится высококвалифицированными и хорошо обеспеченными ресурсами злоумышленниками с определенной целью. Эти атаки обычно осуществляются в течение длительного периода времени, часто месяцев или даже лет, и рассчитаны на то, чтобы оставаться незамеченными, пока злоумышленник продолжает получать доступ к конфиденциальной информации.

APT могут быть государственными деятелями, преступными организациями или другими высоко мотивированными группами, и они нацелены на определенные организации или отдельных лиц, таких как руководители высокого уровня, политические организации или поставщики критически важной инфраструктуры. APT предназначены для того, чтобы избежать обнаружения с помощью традиционных мер безопасности, и часто используют комбинацию социальной инженерии, эксплойтов нулевого дня и сложных вредоносных программ для компрометации систем цели и кражи конфиденциальных данных.