IceApple Malware

До Mezo през Malwareг

Превод на:

Актьори на заплахи използват сложна рамка за зловреден софтуер след експлоатация в серия от целенасочени атаки поне от 2021 г. Зловредният софтуер се проследява като IceApple от изследователите по киберсигурност в екипа на Falcon OverWatch, подразделението за лов на заплахи на CrowdStrike.

Според техните констатации киберпрестъпниците са се насочили към субекти в няколко индустриални сектора - технологии, правителство, академични и множество географски местоположения. Вероятната цел на кампаниите за атака изглежда е кибершпионаж и кражба на данни. IceApple не се приписва на конкретна хакерска група, но поведението му показва признаци, които обикновено се свързват с поддържани от Китай, спонсорирани от държавата заплахи.

Технически подробности

Рамката на IceApple е базирана на мрежа и се състои от поне 18 различни модула за заплаха. Установено е, че е разгърнат в екземпляри на Microsoft Exchange Server, но може да бъде също толкова ефективен, когато се изпълнява в уеб приложения на Internet Information Services (IIS). Всъщност, според CrowdStrike OverWatch, киберпрестъпниците, които са разработили зловредния софтуер, трябва да са имали обширни и задълбочени познания за вътрешната работа на софтуера на IIS.

Това знание е илюстрирано в техниките за откриване и избягване на IceApple. Различните модули се изпълняват в паметта, за да се намали отпечатъка на заплахата върху взломените системи. Освен това IceApple се слива с естествената среда на системата, като създава асемблерни файлове, които на пръв поглед изглеждат законно генерирани от IIS уеб сървъра.

Застрашаващи модули

Функционалността на IceApple зависи от внедрените модули. Всеки от 18-те идентифицирани модула е проектиран да изпълнява конкретна задача, включително събиране на идентификационни данни, манипулиране на файловата система чрез изтриване на файлове и директории и ексфилтрация на поверителни и ценни данни. Всъщност има модул за ексфилтрация на един файл и различен, способен да криптира, компресира и качва множество файлове наведнъж. Експертите по сигурността предупреждават, че IceApple вероятно все още е в процес на активно развитие и неговите възможности могат да бъдат разширени още повече чрез въвеждането на допълнителни модули.