Dikutip dari Bleeping Computer, peneliti mengatakan metode kompromi bergantung pada menipu agen layanan pelanggan untuk membuka tangkapan layar berbahaya yang dikirim pelaku ancaman dengan kedok pengguna yang menghadapi masalah. Serangan semacam itu telah terjadi setidaknya sejak September 2022.
“Kami meyakini backdoor IceBreaker adalah karya aktor ancaman canggih baru yang menggunakan teknik rekayasa sosial yang sangat spesifik, yang dapat menghasilkan gambaran yang lebih jelas tentang siapa mereka,” kata peneliti.
Setelah menganalisis data dari sebuah insiden pada bulan September, SecurityJoes mampu menanggapi tiga serangan lain sebelum para peretas dapat mengkompromikan target mereka. Para peneliti mengatakan bahwa satu-satunya bukti publik dari aktor ancaman IceBreaker yang dapat mereka temukan adalah tweet dari MalwareHunterTeam pada bulan Oktober.
Untuk mengirimkan backdoor, pelaku ancaman menghubungi dukungan pelanggan dari perusahaan target dengan berpura-pura menjadi pengguna yang mengalami masalah saat masuk atau mendaftar ke layanan online.
Peretas meyakinkan agen pendukung untuk mengunduh gambar yang menggambarkan masalah lebih baik daripada yang bisa mereka jelaskan. Para peneliti mengatakan bahwa gambar tersebut biasanya dihosting di situs web palsu yang meniru layanan yang sah, meskipun mereka juga melihatnya dikirim dari penyimpanan Dropbox.
SecurityJoes mengatakan dialog yang diperiksa antara aktor ancaman dan agen pendukung menunjukkan bahwa IceBreaker bukan penutur asli bahasa Inggris dan sengaja meminta untuk berbicara dengan agen berbahasa Spanyol. Namun, mereka terlihat berbicara bahasa lain juga. Tautan yang dikirimkan dengan cara ini mengarah ke arsip ZIP berisi file LNK berbahaya yang mengambil pintu belakang IceBreaker, atau Skrip Visual Basic yang mengunduh RAT Houdini yang telah aktif setidaknya sejak 2013.
Seperti yang terlihat pada gambar di bawah, ikon untuk file Windows Shortcut telah diubah agar terlihat tidak berbahaya. Pintasan berisi perintah untuk mengunduh muatan MSI dari server penyerang, menginstalnya tanpa interaksi pengguna, dan menjalankannya tanpa antarmuka pengguna.
“Malware yang diunduh adalah file JavaScript terkompilasi yang dapat menemukan proses yang sedang berjalan, mencuri kata sandi, cookie, dan file, membuka terowongan proxy untuk penyerang, serta menjalankan skrip yang diambil dari server penyerang,” kata peneliti.
Sementara itu, LNK jahat adalah muatan tahap pertama utama yang mengirimkan malware IceBreaker, sedangkan file VBS digunakan sebagai cadangan, seandainya operator dukungan pelanggan tidak dapat menjalankan pintasan. File pintasan berbahaya berpose sebagai gambar JPG dan ekstensinya telah dimodifikasi sesuai dengan itu. Muatan MSI yang diunduh memiliki tingkat deteksi yang sangat rendah pada Total Virus, hanya mengembalikan 4 positif dari 60 pindaian.
Paket MSI menampilkan sekumpulan besar file umpan untuk menghindari alat deteksi dan mesin analisis berbasis tanda tangan. Lapisan terakhir adalah arsip CAB yang diekstraksi ke folder sementara korban, menjatuhkan muatan "Port.exe".
Security Joes mengatakan ini adalah C++ 64-bit yang dapat dieksekusi dengan overlay yang tidak biasa, menyimpan sebagian data yang ditambahkan ke akhir file. Analis percaya ini adalah cara untuk menyembunyikan sumber daya tambahan dari produk keamanan.
Setelah analisis lebih lanjut, Security Joes memperkirakan bahwa sampel tersebut adalah modul backdoor yang sebelumnya tak terlihat yang ditulis dalam Node.js, memberikan pelaku ancaman dengan kemampuan berikut: Jika entitas yang ditargetkan belum mengalihdayakan layanan dukungan pelanggan ke penyedia eksternal, pelaku ancaman dapat menggunakan pintu belakang untuk mencuri kredensial akun, bergerak secara lateral dalam jaringan, dan memperluas intrusi mereka.
Saat ini, tidak banyak yang diketahui tentang grup IceBreaker, tetapi Security Joes memutuskan untuk menerbitkan laporan tentang temuan mereka dan membagikan semua IoC yang ditangkap (indikator kompromi) untuk membantu para pembela HAM mendeteksi dan mengatasi ancaman ini.
Para peneliti telah menerbitkan laporan teknis yang menggambarkan modus operandi aktor ancaman dan cara kerja pintu belakang mereka. Aturan YARA juga telah dipublikasikan untuk membantu organisasi mendeteksi malware.
Selain itu, Security Joes merekomendasikan perusahaan yang mencurigai adanya pelanggaran dengan IceBreaker untuk mencari file pintasan yang dibuat di folder startup dan memeriksa eksekusi tidak sah dari alat sumber terbuka tsocks.exe.
Comments
Post a Comment