В киберпространстве в прямом и переносном смысле появился новый игрок.

Ранее неизвестная группировка атаковала компании, занимающиеся азартными и онлайн-играми, с помощью также неизвестного бэкдора, который исследователи назвали IceBreaker.

Метод компрометации основан на том, что сотрудников службы поддержки клиентов обманным путем заставляют открывать вредоносные скриншоты, которые злоумышленник отправляет под видом проблем, с которой сталкивается пользователь.

Первые атаки зафиксированы в сентябре 2022 года специалистами из компании Security Joes по реагированию на инциденты, которые считают, что бэкдор IceBreaker — это работа нового продвинутого злоумышленника, использующего новую и очень специфическую тактику социальной инженерии.

Анализ техники в перспективе может дать более четкое представление о том, кто они такие. Во всяком случае проанализировав данные сентябрьского инцидента, Security Joes смогли отреагировать на три другие атаки, прежде чем хакеры смогли скомпрометировать свои цели.

Единственным публичным доказательством существования злоумышленника IceBreaker, которое удалось найти специалистам - это октябрьский твит от MalwareHunterTeam.

Чтобы доставить бэкдор, злоумышленник обращается в службу поддержки целевой компании, притворяясь пользователем, у которого возникают проблемы со входом в систему или регистрацией в онлайн-сервисе.

Хакеры убеждают сотрудника поддержки загрузить изображение, которое описывает проблему лучше, чем они могут объяснить.

Специалисты говорят, что изображение обычно размещается на поддельном веб-сайте, который выдает себя за легитимный сервис, дабы убедить жертву, что оно было доставлено из хранилища Dropbox.

Ссылки, доставленные таким образом, ведут к ZIP-архиву, содержащему вредоносный LNK-файл, который собственно и загружает бэкдор IceBreaker, или скрипт Visual Basic, загружающий Houdini RAT, используемый злоумышленниками как минимум с 2013 года.

Специалисты отметили, что загруженное вредоносное ПО является очень сложным скомпилированным файлом JavaScript, который может обнаруживать запущенные процессы, красть пароли, файлы cookie, открывать обратный туннель через прокси, а также запускать сценарии, полученные с сервера управления.

Вредоносный LNK является основной полезной нагрузкой первого уровня, доставляющего вредоносное ПО IceBreaker, а файл VBS используется в качестве резервной копии на случай, если оператор службы поддержки не сможет запустить ярлык.

Страновую принадлежность нового актора еще не идентифицировали, однако Security Joes заявили, что диалоги, которые они изучили между злоумышленником и сотрудниками поддержки, показывают, что актор не является носителем английского языка и намеренно просит перевести разговор на испаноговорящего специалиста.

Также было замечено, что они говорят и на других языках.

Представителям игровой индустрии, да и не только, стоит держать ушки на макушки, так как хакерами используется очень эффективный вектор атаки и новый арсенал вредоносного ПО.

Вышла книга посвященная информационной составляющей СВО. Написана в соавторстве с Андреем Манойло https://t.me/ManoiloToday, Константином Стригуновым https://t.me/cabellosfriends и Анатолием Петренко. Писал для нее вступительную часть. Сама книга логично продолжает и развивает книгу "Фейки: анатомия лжи" https://clck.ru/33TnzK. Многие из рассматриваемых там приемов манипуляции сознанием и пропаганды, активно применялись и применяются в ходе войны на Украине.

Скоро можно будет купить в магазинах.

Microsoft DTAC пора бы давать объявления "Проводим атрибуцию. Недорого. Правда хреново".

Microsoft приписывает недавнюю кибератаку на сатирический французский журнал Charlie Hebdo связанной с Ираном APT-группе NEPTUNIUM (он же Emennet Pasargad, Holy Souls).

Charlie Hebdo не прокомментировал выводы Microsoft, но технологический гигант уже успел быстро назначить виноватого.

Как заключили эксперты, нападение является местью за инициативу Charlie Hebdo провести конкурс карикатур на правящего священнослужителя Ирана.

В результате кибератаки злоумышленник взломал базу данных журнала и получил личную информацию в отношении более 230 000 подписчиков издания.

Часть сведений была опубликована в качестве доказательства. Полный массив продается на нескольких даркнет-площадках за 340 000 долларов.

Утечка включают полные установочные данные, номера телефонов, адреса, а также электронную почту. Французская Le Monde уже подтвердила подлинность данных.

В основу атрибуции были положены шаблоны ФБР, на основе которых Microsoft удалось выделить отличительные элементы атаки:
- хактивистская личность,
- публичные заявления об атаке,
- утечка личных данных,
- использование фейковых аккаунтов в соцсетях «sockpuppet»,
- обращение к СМИ.

И еще один: более широкий набор разведданных, доступный только Microsoft DTAC (и приславшему этот набор с назначением виноватого подразделению АНБ или ЦРУ).

Предлагаем Microsoft DTAC новый универсальный набор TTPs, которые однозначно свидетельствуют о принадлежности атакующих к APT России, Китая, Ирана или КНДР:

- хакеры атаковали цель через Интернет;
- в ходе атаки они использовали один или несколько языков программирования;
- у хакерской атаки были негативные последствия.

Если хотя бы один из этих признаков присутствует, то можно с уверенностью говорить, что атакующие работают на правительство одной из указанных стран (а может быть и на все сразу!)

"Когда увидел основу атрибуции и универсальный набор TTPs от Microsoft DTAC, которые свидетельствуют о принадлежности атакующих к APT России, Китая, Ирана или КНДР", - 🤣комментарий подписчика.