해커들은 최근 iGaming 회사에 대한 공격이 급증하면서 카드가 아닌 플레이어를 플레이함으로써 포커 플레이북에서 잎사귀를 가져왔습니다.[이미지:Shutterstockcom[Image:Shutterstockcom
플레이어 플레이
이스라엘 보안 회사 Security Joes에 따르면 도박 부문은 9월에 시작된 일련의 사이버 공격의 피해를 입었습니다. 그 이후로 회사는 “IceBreaker APT”라는 코드명으로 공격을 추적했습니다.
회사 담당자가 스스로 해킹하게 만들었습니다.
포커에는 “카드가 아니라 플레이어를 플레이해야 한다”는 시대에 뒤떨어진 진부한 말이 있습니다. Black Hats는 이 경우 기술 기반 접근 방식을 사용하는 대신 회사의 휴먼 웨트웨어를 대상으로 이러한 접근 방식을 취했습니다. 그들의 소프트웨어가 게임 회사의 디지털 방어망에 노출되는 것을 피하기 위해 해커는 고객 서비스에 직접 연락하여 회사 담당자가 스스로 해킹하도록 했습니다.
Security Joes는 “공격자는 고객 서비스가 사람에 의해 운영된다는 사실을 잘 알고 있었습니다.”라고 설명했습니다.
공격 작동 방식
공격이 진행되는 동안 해커는 고객으로 위장하여 대상 iGaming 사이트의 고객 서비스 에이전트에게 연락했습니다. 전화나 실시간 채팅 중에 해커는 상담원에게 채팅이나 Dropbox를 통해 문제의 “스크린샷”을 보냈습니다.
에이전트 컴퓨터에 백도어 설치
에이전트가 다운로드를 열면 이미지를 불러오는 대신 파일이 에이전트의 컴퓨터에 백도어를 설치했습니다. 다운로드에는 두 개의 페이로드가 포함되어 있습니다. 첫 번째는 완전히 새로운 멀웨어인 IceBreaker Backdoor라는 소프트웨어를 설치하는 LNK 파일입니다. 두 번째 페이로드는 백업 역할을 하며 Houdini RAT라는 훨씬 오래된 트로이 목마를 포함합니다.
일단 설치되면 해커는 쿠키와 로그인 정보를 훔치고, 스크린샷을 찍고, 시스템에 대한 더 많은 액세스를 제공하는 플러그인을 설치하고, 대상 서버에서 파일을 복사할 수 있습니다.
해커 찾기
Security Joes는 Icebreaker Backdoor의 코드를 리버스 엔지니어링하는 것부터 고객 서비스 채팅에서 해커가 사용하는 영어의 변덕스러운 점을 분석하는 것까지 다양한 방법을 사용하여 검은 모자를 추적하고 있습니다. 예를 들어, 이전 해커들은 영어 “server” 대신에 러시아어 단어 “sever”를 사용했기 때문에 러시아어로 식별되었습니다.
코드명 IceBreaker는 약어 ICE의 두 가지 분석에서 사용됩니다. 사이버펑크 소설의 세계에서 ICE는 해커로부터 서버를 보호하는 사이버 보안 프로그램인 Intruder Countermeasures Electronics의 약자입니다. 도박 산업에서 ICE는 주요 산업 컨벤션인 국제 카지노 전시회입니다.
Security Joes 팀은 현재 진행 중인 2023년 ICE 런던 행사를 앞두고 첫 번째 IceBreaker 공격을 보고했습니다.
이름은 가벼운 말장난일 수 있지만 위협은 충분히 현실적이며 iGaming 회사는 IceBreaker 해커가 손을 떼게 하려면 위험을 높일 방법을 찾아야 합니다.