IceApple Malware

عوامل تهدید حداقل از سال 2021 از یک چارچوب پیچیده بدافزار پس از بهره برداری در مجموعه ای از حملات هدفمند استفاده می کنند. محققان امنیت سایبری در تیم Falcon OverWatch، بخش شکار تهدید CrowdStrike، این بدافزار را به عنوان IceApple ردیابی می کنند.

بر اساس یافته‌های آن‌ها، مجرمان سایبری نهادها را در چندین بخش صنعتی - فناوری، دولت، و مکان‌های علمی و جغرافیایی متعدد هدف قرار داده‌اند. به نظر می رسد هدف احتمالی کمپین های حمله، جاسوسی سایبری و سرقت اطلاعات باشد. IceApple به یک گروه هکری خاص نسبت داده نشده است، اما رفتار آن نشانه هایی را نشان می دهد که معمولاً با بازیگران تهدید همسو با چین و حمایت دولتی مرتبط است.

جزییات فنی

چارچوب IceApple مبتنی بر شبکه است و از حداقل 18 ماژول تهدید کننده مختلف تشکیل شده است. مشخص شده است که در نمونه‌های مایکروسافت اکسچنج سرور مستقر شده است، اما می‌تواند هنگام اجرای برنامه‌های وب سرویس‌های اطلاعات اینترنتی (IIS) به همان اندازه مؤثر باشد. در واقع، طبق گفته‌های CrowdStrike OverWatch، مجرمان سایبری که این بدافزار را توسعه داده‌اند، باید دانش گسترده و عمیقی در مورد عملکرد درونی نرم‌افزار IIS داشته باشند.

این دانش در تکنیک‌های تشخیص-گریز IceApple نمونه‌ای است. ماژول‌های مختلف در حافظه اجرا می‌شوند تا ردپای تهدید را در سیستم‌های شکسته کاهش دهند. علاوه بر این، IceApple با ایجاد فایل‌های اسمبلی که در نگاه اول به‌طور قانونی توسط وب سرور IIS تولید شده‌اند، با محیط طبیعی سیستم ترکیب می‌شود.

ماژول های تهدید کننده

عملکرد IceApple به ماژول های مستقر شده بستگی دارد. هر یک از 18 ماژول شناسایی شده برای انجام یک کار خاص طراحی شده است، از جمله جمع آوری اعتبار، دستکاری سیستم فایل با حذف فایل ها و دایرکتوری ها، و استخراج داده های محرمانه و ارزشمند. در واقع، یک ماژول برای استخراج یک فایل وجود دارد، و یک ماژول دیگر که قادر به رمزگذاری، فشرده سازی و آپلود چندین فایل در یک زمان است. کارشناسان امنیتی هشدار می دهند که IceApple احتمالا هنوز در حال توسعه فعال است و قابلیت های آن می تواند حتی بیشتر از طریق معرفی ماژول های اضافی گسترش یابد.