IceApple Malware

Aktéři hrozeb používají sofistikovaný rámec malwaru po exploataci v řadě cílených útoků minimálně od roku 2021. Malware sledují jako IceApple výzkumníci kybernetické bezpečnosti z týmu Falcon OverWatch, divize CrowdStrike pro vyhledávání hrozeb.

Podle jejich zjištění se kyberzločinci zaměřili na subjekty v několika průmyslových odvětvích – technologie, státní správa, akademická sféra a různé geografické oblasti. Pravděpodobným cílem útočných kampaní se zdá být kyberšpionáž a krádež dat. IceApple nebyl přiřazen ke konkrétní skupině hackerů, ale jeho chování vykazuje známky typicky spojené s čínskými a státem sponzorovanými hrozbami.

Technické údaje

Rámec IceApple je síťový a skládá se z nejméně 18 různých ohrožujících modulů. Bylo zjištěno, že je nasazen na instancích Microsoft Exchange Server, ale stejně účinný může být i při běhu na webových aplikacích Internet Information Services (IIS). Ve skutečnosti, podle CrowdStrike OverWatch, kyberzločinci, kteří vyvinuli malware, museli mít rozsáhlé a hluboké znalosti o vnitřním fungování softwaru IIS.

Tyto znalosti jsou ilustrovány v technikách detekce-vyhýbání se IceApple. Různé moduly jsou spuštěny v paměti, aby se snížila stopa hrozby na narušených systémech. IceApple navíc splyne s přirozeným prostředím systému vytvářením souborů sestavení, které se na první pohled zdají být legitimně generovány webovým serverem IIS.

Hrozivé moduly

Funkčnost IceApple závisí na nasazených modulech. Každý z 18 identifikovaných modulů je navržen tak, aby vykonával určitou úlohu, včetně shromažďování přihlašovacích údajů, manipulace se systémem souborů mazáním souborů a adresářů a exfiltrací důvěrných a cenných dat. Ve skutečnosti existuje modul pro exfiltraci jednoho souboru a jiný modul schopný šifrovat, komprimovat a nahrávat více souborů najednou. Bezpečnostní experti varují, že IceApple se pravděpodobně stále aktivně vyvíjí a jeho schopnosti by mohly být ještě dále rozšířeny zavedením dalších modulů.