IceApple Malware

Οι φορείς απειλών χρησιμοποιούν ένα εξελιγμένο πλαίσιο κακόβουλου λογισμικού μετά την εκμετάλλευση σε μια σειρά στοχευμένων επιθέσεων τουλάχιστον από το 2021. Το κακόβουλο λογισμικό παρακολουθείται ως IceApple από τους ερευνητές κυβερνοασφάλειας στην ομάδα Falcon OverWatch, το τμήμα κυνηγιού απειλών της CrowdStrike.

Σύμφωνα με τα ευρήματά τους, οι κυβερνοεγκληματίες έχουν στοχεύσει οντότητες σε διάφορους κλάδους της βιομηχανίας - τεχνολογία, κυβέρνηση και ακαδημαϊκές και πολλαπλές γεωγραφικές τοποθεσίες. Ο πιθανός στόχος των εκστρατειών επίθεσης φαίνεται να είναι η κυβερνοκατασκοπεία και η κλοπή δεδομένων. Το IceApple δεν έχει αποδοθεί σε μια συγκεκριμένη ομάδα χάκερ, αλλά η συμπεριφορά του δείχνει σημάδια που συνήθως συνδέονται με παράγοντες απειλών που είναι ευθυγραμμισμένοι με την Κίνα, χρηματοδοτούμενοι από το κράτος.

Τεχνικές λεπτομέρειες

Το πλαίσιο IceApple βασίζεται σε δίκτυο και αποτελείται από τουλάχιστον 18 διαφορετικές απειλητικές ενότητες. Διαπιστώθηκε ότι έχει αναπτυχθεί σε παρουσίες του Microsoft Exchange Server, αλλά μπορεί να είναι εξίσου αποτελεσματικό όταν εκτελείται σε εφαρμογές web των Υπηρεσιών Πληροφοριών Διαδικτύου (IIS). Στην πραγματικότητα, σύμφωνα με το CrowdStrike OverWatch, οι κυβερνοεγκληματίες που ανέπτυξαν το κακόβουλο λογισμικό πρέπει να είχαν εκτενή και βαθιά γνώση σχετικά με την εσωτερική λειτουργία του λογισμικού IIS.

Αυτή η γνώση παρουσιάζεται ως παράδειγμα στις τεχνικές ανίχνευσης-αποφυγής του IceApple. Οι διάφορες μονάδες εκτελούνται στη μνήμη για να μειώσουν το αποτύπωμα της απειλής σε συστήματα που έχουν παραβιαστεί. Επιπλέον, το IceApple συνδυάζεται με το φυσικό περιβάλλον του συστήματος δημιουργώντας αρχεία συναρμολόγησης που με την πρώτη ματιά φαίνεται να δημιουργούνται νόμιμα από τον διακομιστή Ιστού IIS.

Απειλητικές Ενότητες

Η λειτουργικότητα του IceApple εξαρτάται από τις αναπτυγμένες μονάδες. Καθεμία από τις 18 ενότητες που προσδιορίζονται έχει σχεδιαστεί για να εκτελεί μια συγκεκριμένη εργασία, συμπεριλαμβανομένης της συλλογής διαπιστευτηρίων, του χειρισμού του συστήματος αρχείων με τη διαγραφή αρχείων και καταλόγων και της εξαγωγής εμπιστευτικών και πολύτιμων δεδομένων. Στην πραγματικότητα, υπάρχει μια ενότητα για την εξαγωγή ενός αρχείου και μια διαφορετική που μπορεί να κρυπτογραφήσει, να συμπιέσει και να ανεβάσει πολλά αρχεία ταυτόχρονα. Οι ειδικοί σε θέματα ασφάλειας προειδοποιούν ότι το IceApple πιθανότατα βρίσκεται ακόμη υπό ενεργό ανάπτυξη και οι δυνατότητές του θα μπορούσαν να επεκταθούν ακόμη περισσότερο με την εισαγωγή πρόσθετων μονάδων.