МЭРГЭЖИЛТНҮҮД ТОГЛООМ, МӨРИЙТЭЙ ТОГЛООМЫН САЛБАРЫГ ОНИЛСОН "МӨС ХАГАЛАГЧ" КИБЕР ХАЛДЛАГЫН ТАЛААР АНХААРУУЛЖ БАЙНА

Ирэх долоо хоногт болох ICE London 2023 тоглоомын салбарын үзэсгэлэн худалдаа болохоос хэдхэн сарын өмнө 2022 оны есдүгээр сараас хойш шинэ халдлага нь тоглоом болон мөрийтэй тоглоомын салбар руу чиглэсэн байна.

Израилийн кибер аюулгүй байдлын компани Security Joes нь Ice Breaker нэртэй үйл ажиллагааны явцыг хянаж байгаа бөгөөд халдлагууд нь JavaScript-ийн цоорхойг ашиглан байрлуулах түгээмэл аргыг ашигладаг гэж мэдэгджээ.

Чатанд илгээсэн хорлонтой холбоос дээр дарснаар LNK ачааллах, VBScript файлыг нөөцлөдөг бөгөөд эхнийх нь Node.js суулгац агуулсан MSI багцыг татаж авч ажиллуулахаар тохируулагдсан байдаг.

JavaScript файлын цоорхой нь бүх боломжуудтай бөгөөд аюул заналхийлэгч нь ажиллаж байгаа процессуудыг тоолох, нууц үг болон хийсэн үйлдлийн байримтуудыг хулгайлах, дурын файлуудыг задлах, дэлгэцийн агшинг авах, алсын серверээс импортолсон VBScript-г ажиллуулах, тэр ч байтугай эвдэрсэн сервер дээр урвуу прокси нээх боломжийг олгодог.

Халдагчдын гарал үүсэл одоогоор тодорхойгүй байгаа ч тэд харилцагчийн үйлчилгээний агентуудтай ярилцах үеэрээ англи хэлийг эвдэрсэн нь ажиглагдсан. Төлөвлөгөөт халдлагатай холбоотой зарим мэдээ (IoC) үзүүлэлтүүдийг MalwareHunterTeam өмнө нь 2022 оны 10-р сард мэдээлсэн байсан.

"Энэ бол тоглоом, мөрийтэй тоглоомын салбарын хувьд маш үр дүнтэй халдлагын вектор юм" гэж Security Joes-ийн аюул заналхийллийн ахлах судлаач Фелипе Дуарте нийтлэлдээ мэдэгдсэн.

"Өмнө нь хэзээ ч байгаагүй хөрвүүлэгдсэн JavaScript-ийн хоёр дахь шатны хортой программыг задлан шинжлэхэд маш нарийн төвөгтэй байдаг нь бид ашиг сонирхлын эзэмшигчээр ивээн тэтгэх боломжтой чадварлаг заналхийлэгчтэй харьцаж байгааг харуулж байна” хэмээн нийтэлсэн байна.