IceApple Malware
Els actors de l'amenaça han estat utilitzant un sofisticat marc de programari maliciós posterior a l'explotació en una sèrie d'atacs dirigits almenys des del 2021. Els investigadors de ciberseguretat de l'equip de Falcon OverWatch, la divisió de caça d'amenaces de CrowdStrike, segueixen el programari maliciós com a IceApple.
Segons les seves conclusions, els ciberdelinqüents s'han dirigit a entitats de diversos sectors de la indústria: tecnologia, govern, acadèmics i múltiples ubicacions geogràfiques. L'objectiu probable de les campanyes d'atac sembla ser el ciberespionatge i el robatori de dades. IceApple no s'ha atribuït a un grup de pirates informàtics específic, però el seu comportament mostra signes típicament associats amb actors d'amenaça alineats a la Xina i patrocinats per l'estat.
Detalls tècnics
El marc d'IceApple està basat en xarxa i consta d'almenys 18 mòduls amenaçadors diferents. S'ha trobat desplegat en instàncies de Microsoft Exchange Server, però pot ser igual d'efectiu quan s'executa en aplicacions web de Serveis d'informació d'Internet (IIS). De fet, segons CrowdStrike OverWatch, els ciberdelinqüents que van desenvolupar el programari maliciós devien tenir un coneixement ampli i profund sobre el funcionament intern del programari IIS.
Aquest coneixement s'exemplifica en les tècniques de detecció-evasió d'IceApple. Els diferents mòduls s'executen a la memòria per reduir la petjada de l'amenaça en els sistemes violats. A més, IceApple es combina amb l'entorn natural del sistema creant fitxers de muntatge que a primera vista semblen generats legítimament pel servidor web IIS.
Mòduls d'amenaça
La funcionalitat d'IceApple depèn dels mòduls desplegats. Cadascun dels 18 mòduls identificats està dissenyat per dur a terme una tasca concreta, inclosa la recollida de credencials, la manipulació del sistema de fitxers eliminant fitxers i directoris i l'exfiltració de dades confidencials i valuoses. De fet, hi ha un mòdul per a l'exfiltració d'un sol fitxer i un altre de diferent capaç de xifrar, comprimir i carregar diversos fitxers alhora. Els experts en seguretat adverteixen que probablement IceApple encara està en desenvolupament actiu i que les seves capacitats es podrien ampliar encara més mitjançant la introducció de mòduls addicionals.
