IceApple Malware

يستخدم ممثلو التهديدات إطار عمل معقدًا للبرامج الضارة بعد الاستغلال في سلسلة من الهجمات المستهدفة منذ عام 2021 على الأقل. يتم تتبع البرنامج الضار مثل IceApple بواسطة باحثين في الأمن السيبراني في فريق Falcon OverWatch ، قسم مطاردة التهديدات في CrowdStrike.

وفقًا للنتائج التي توصلوا إليها ، استهدف مجرمو الإنترنت كيانات عبر العديد من القطاعات الصناعية - التكنولوجيا والحكومة والأكاديمية والمواقع الجغرافية المتعددة. يبدو أن الهدف المحتمل من حملات الهجوم هو التجسس الإلكتروني وسرقة البيانات. لم تُنسب شركة IceApple إلى مجموعة قراصنة معينة ، لكن سلوكها يُظهر علامات مرتبطة عادةً بجهات التهديد المتحالفة مع الصين والتي ترعاها الدولة.

تفاصيل تقنية

يعتمد إطار عمل IceApple على الشبكة ويتكون من 18 وحدة تهديد مختلفة على الأقل. لقد تم نشره على مثيلات Microsoft Exchange Server ، ولكن يمكن أن يكون بنفس الفعالية عند التشغيل على تطبيقات الويب لخدمات معلومات الإنترنت (IIS). في الواقع ، وفقًا لـ CrowdStrike OverWatch ، يجب أن يكون لدى مجرمي الإنترنت الذين طوروا البرامج الضارة معرفة واسعة وعميقة حول الأعمال الداخلية لبرنامج IIS.

تتجسد هذه المعرفة في تقنيات تجنب الكشف عن IceApple. يتم تشغيل الوحدات المختلفة في الذاكرة لتقليل أثر التهديد على الأنظمة المخترقة. علاوة على ذلك ، يندمج IceApple مع البيئة الطبيعية للنظام عن طريق إنشاء ملفات تجميع يبدو للوهلة الأولى أنه تم إنشاؤها بشكل شرعي بواسطة خادم ويب IIS.

وحدات التهديد

تعتمد وظيفة IceApple على الوحدات المستخدمة. تم تصميم كل وحدة من الوحدات الـ 18 المحددة لأداء مهمة معينة ، بما في ذلك جمع بيانات الاعتماد ، ومعالجة نظام الملفات عن طريق حذف الملفات والأدلة ، واستخراج البيانات السرية والقيمة. في الواقع ، هناك وحدة لاستخراج ملف واحد ، ووحدة أخرى قادرة على تشفير وضغط وتحميل ملفات متعددة في وقت واحد. يحذر خبراء الأمن من أن IceApple لا يزال على الأرجح قيد التطوير النشط ، ويمكن توسيع قدراته بشكل أكبر من خلال إدخال وحدات إضافية.