IceApple Malware
Ohutegijad on kasutanud keerukat ärakasutamisjärgset pahavara raamistikku sihitud rünnakute seerias vähemalt aastast 2021. Pahavara jälgivad CrowdStrike'i ohtude otsimise osakonna Falcon OverWatchi meeskonna küberjulgeolekuteadlased kui IceApple.
Nende leidude kohaselt on küberkurjategijad võtnud sihikule üksuseid mitmes tööstussektoris – tehnoloogias, valitsuses ning akadeemilises ja mitmes geograafilises asukohas. Rünnakukampaaniate tõenäoline eesmärk näib olevat küberspionaaž ja andmete vargus. IceApple'i ei ole omistatud konkreetsele häkkerirühmale, kuid selle käitumises on märke, mida tavaliselt seostatakse Hiinaga kooskõlastatud, riiklikult toetatud ohustajatega.
Tehnilised detailid
IceApple'i raamistik on võrgupõhine ja koosneb vähemalt 18 erinevast ohumoodulist. Leiti, et see on juurutatud Microsoft Exchange Serveri eksemplarides, kuid see võib olla sama tõhus ka Interneti-teabeteenuste (IIS) veebirakendustes käitamisel. Tegelikult pidid CrowdStrike OverWatchi andmetel pahavara välja töötanud küberkurjategijad omama ulatuslikke ja sügavaid teadmisi IIS-i tarkvara sisemisest tööst.
Nende teadmiste näide on IceApple'i tuvastamise ja kõrvalehoidmise tehnikates. Erinevaid mooduleid käitatakse mälus, et vähendada rikutud süsteemide ohu jalajälge. Lisaks sulandub IceApple süsteemi loomuliku keskkonnaga, luues koostefaile, mis esmapilgul näivad olevat IIS-i veebiserveri poolt seaduslikult genereeritud.
Ähvardavad moodulid
IceApple'i funktsionaalsus sõltub juurutatud moodulitest. Kõik 18 tuvastatud moodulist on loodud konkreetse ülesande täitmiseks, sealhulgas mandaatide kogumiseks, failisüsteemiga manipuleerimiseks failide ja kataloogide kustutamise teel ning konfidentsiaalsete ja väärtuslike andmete väljafiltreerimiseks. Tegelikult on olemas moodul ühe faili eksfiltreerimiseks ja teine moodul, mis suudab korraga mitut faili krüpteerida, tihendada ja üles laadida. Turvaeksperdid hoiatavad, et tõenäoliselt on IceApple endiselt aktiivne arendustöö ja selle võimalusi võib täiendavate moodulite kasutuselevõtuga veelgi laiendada.
