IceBreaker

IceBreakerといっても、緊張した雰囲気をほぐすための行動のことではありません。
IceBreakerはバックドア型マルウェアです。
どんな動きをするのでしょう。

• 顧客サポートに連絡が入る
  オンラインでサービスを提供している会社で顧客サポートを提供しています。
  そういった窓口に顧客からの連絡が入ります。

   

• 顧客が困っている
  オンラインサービスを利用したいのだけれどログインできない、とか、登録がうまくいかない、とかという感じの問い合わせが来ます。
  顧客サポートの担当者は対応を開始します。

   

• 顧客が画像の確認を依頼する
  顧客は困っているといっています。
  そしてその困っている内容を詳しく伝えるために自分の指定する画像を見てほしいとサポート担当者に伝えます。

   

• サポート担当者は画像を開く
  サポート担当者は画像ファイルを開きます。
  違いました、サポート担当者は画像と思ってファイルを開きます。
  問い合わせをしてきた人が指定したファイルは画像ファイルではありませんでした。
  ファイル名は拡張子がjpgとなっているのですが、内容はLNKファイルです。
  LNKファイルのプロパティには攻撃に使用するファイルのダウンロードを実施させる内容が仕掛けられています。
  こうして機器上での攻撃が開始されます。

   

• サポート担当者の機器がBotnetに組み込まれる
  LNKファイルから始まる活動で実施されたのは、その機器をBotnetに登録する内容となっていました。
  サポート担当者の機器はバックドアが仕掛けられ、Botnetに登録された状態となります。
  もちろん永続化も施された状態となります。

この脅威は、PEファイルのオーバーレイを使う、JavaScriptをコンパイルした状態にして使用する、など技術的な面で見た場合でもいくつかの特徴がみられるものとなっています。
しかし、技術的に特殊な方式を採用しているなどの方向性だけではなく、被害者像の研究と心の動きをよく考えたものとなっていると思えます。
困っている顧客の問題を一刻も早く解消したいと思っているサポート担当者は送られてきた画像ファイルは簡単に開きますよね、といった具合です。

新しく出てくる脅威は技術面以外もよく練られてきています。
無条件で安心できるものはない、と考えて行動する必要があるのかもしれません。

参考記事（外部リンク）：Operation Ice Breaker Targets The Gam(bl)ing Industry Right
Before It’s Biggest Gathering
www.securityjoes.com/post/operation-ice-breaker-targets-the-gam-bl-ing-industry-right-before-it-s-biggest-gathering