Operation Ice Breaker Targets The Gam(bl)ing Industry Right Before It's Biggest Gathering
このグループの攻撃は顧客になりすまし、ベンダのカスタマーサービスにチャットでコンクタクトを取ることから始まるという。Dropboxにアップロードされたスクリーンショット画像のリンクを開くように促し、悪意のあるペイロードをダウンロードさせることがわかった。
チャットで送信されたリンクをクリックすると、ペイロードであるLNKファイルあるいはVBScriptファイルのダウンロードが開始されるという。ペイロードの挙動は異なっており、LNKファイルを実行するとバックドアなどを含むMSIパッケージがダウンロードおよび実行され、VBScriptファイルを実行すると遠隔操作ウイルス(RAT: Remote Administration Tool)型マルウェアであるHoudini RATがダウンロードおよび実行されることが判明している。
Structure of an Intrusion
Ice Breakerの出自に関する情報は今のところ特定されていないが、カスタマーサービスエージェントとの会話の中で英語とスペイン語が使われていることが確認されている。Ice Breakerによって展開されたキャンペーンに関連する複数のセキュリティ侵害インジケータ(IoC: Indicator of Compromise)が共有されており、ゲーム業界のベンダーに対して注意するよう警告が発せられている。