IceApple Malware
عوامل تهدید حداقل از سال 2021 از یک چارچوب پیچیده بدافزار پس از بهره برداری در مجموعه ای از حملات هدفمند استفاده می کنند. محققان امنیت سایبری در تیم Falcon OverWatch، بخش شکار تهدید CrowdStrike، این بدافزار را به عنوان IceApple ردیابی می کنند.
بر اساس یافتههای آنها، مجرمان سایبری نهادها را در چندین بخش صنعتی - فناوری، دولت، و مکانهای علمی و جغرافیایی متعدد هدف قرار دادهاند. به نظر می رسد هدف احتمالی کمپین های حمله، جاسوسی سایبری و سرقت اطلاعات باشد. IceApple به یک گروه هکری خاص نسبت داده نشده است، اما رفتار آن نشانه هایی را نشان می دهد که معمولاً با بازیگران تهدید همسو با چین و حمایت دولتی مرتبط است.
جزییات فنی
چارچوب IceApple مبتنی بر شبکه است و از حداقل 18 ماژول تهدید کننده مختلف تشکیل شده است. مشخص شده است که در نمونههای مایکروسافت اکسچنج سرور مستقر شده است، اما میتواند هنگام اجرای برنامههای وب سرویسهای اطلاعات اینترنتی (IIS) به همان اندازه مؤثر باشد. در واقع، طبق گفتههای CrowdStrike OverWatch، مجرمان سایبری که این بدافزار را توسعه دادهاند، باید دانش گسترده و عمیقی در مورد عملکرد درونی نرمافزار IIS داشته باشند.
این دانش در تکنیکهای تشخیص-گریز IceApple نمونهای است. ماژولهای مختلف در حافظه اجرا میشوند تا ردپای تهدید را در سیستمهای شکسته کاهش دهند. علاوه بر این، IceApple با ایجاد فایلهای اسمبلی که در نگاه اول بهطور قانونی توسط وب سرور IIS تولید شدهاند، با محیط طبیعی سیستم ترکیب میشود.
ماژول های تهدید کننده
عملکرد IceApple به ماژول های مستقر شده بستگی دارد. هر یک از 18 ماژول شناسایی شده برای انجام یک کار خاص طراحی شده است، از جمله جمع آوری اعتبار، دستکاری سیستم فایل با حذف فایل ها و دایرکتوری ها، و استخراج داده های محرمانه و ارزشمند. در واقع، یک ماژول برای استخراج یک فایل وجود دارد، و یک ماژول دیگر که قادر به رمزگذاری، فشرده سازی و آپلود چندین فایل در یک زمان است. کارشناسان امنیتی هشدار می دهند که IceApple احتمالا هنوز در حال توسعه فعال است و قابلیت های آن می تواند حتی بیشتر از طریق معرفی ماژول های اضافی گسترش یابد.