IceApple Malware
Trusselaktører har brugt en sofistikeret post-udnyttelse af malware-ramme i en række målrettede angreb siden mindst 2021. Malwaren bliver sporet som IceApple af cybersikkerhedsforskerne hos Falcon OverWatch-teamet, trusselsjagtafdelingen af CrowdStrike.
Ifølge deres resultater har cyberkriminelle målrettet enheder på tværs af flere industrisektorer - teknologi, regering og akademiske og flere geografiske steder. Det sandsynlige mål med angrebskampagnerne ser ud til at være cyberspionage og datatyveri. IceApple er ikke blevet tilskrevet en specifik hackergruppe, men dens adfærd viser tegn, der typisk er forbundet med Kina-tilpassede, statssponsorerede trusselsaktører.
Tekniske detaljer
IceApple-rammen er netbaseret og består af mindst 18 forskellige truende moduler. Det er blevet fundet implementeret på Microsoft Exchange Server-instanser, men det kan være lige så effektivt, når det kører på Internet Information Services (IIS) webapplikationer. Faktisk skal de cyberkriminelle, der udviklede malwaren ifølge CrowdStrike OverWatch, have haft omfattende og dyb viden om IIS-softwarens indre funktion.
Denne viden er eksemplificeret i IceApples detektions-unddragelsesteknikker. De forskellige moduler køres i hukommelsen for at reducere fodaftrykket af truslen på brudte systemer. Ydermere smelter IceApple ind i systemets naturlige miljø ved at skabe assembly-filer, der ved første kig ser ud til at være legitimt genereret af IIS-webserveren.
Truende moduler
Funktionaliteten af IceApple afhænger af de installerede moduler. Hvert af de 18 identificerede moduler er designet til at udføre en bestemt opgave, herunder indsamling af legitimationsoplysninger, manipulation af filsystemet ved at slette filer og mapper og udslettelse af fortrolige og værdifulde data. Faktisk er der et modul til enkeltfil-eksfiltrering, og et andet, der er i stand til at kryptere, komprimere og uploade flere filer ad gangen. Sikkerhedseksperterne advarer om, at IceApple sandsynligvis stadig er under aktiv udvikling, og dets muligheder kan udvides yderligere gennem introduktionen af yderligere moduler.
