IceApple Malware
Uhkatoimijat ovat käyttäneet kehittynyttä hyväksikäytön jälkeistä haittaohjelmakehystä kohdistetuissa hyökkäyksissä ainakin vuodesta 2021 lähtien. CrowdStriken uhkien metsästysjaoston Falcon OverWatch -tiimin kyberturvallisuustutkijat jäljittävät haittaohjelmaa nimellä IceApple.
Havaintojensa mukaan kyberrikolliset ovat kohdistaneet kohteen useilla toimialoilla - teknologian, hallinnon sekä akateemisten ja useilla maantieteellisillä alueilla. Hyökkäyskampanjoiden todennäköinen tavoite näyttää olevan kybervakoilu ja tietovarkaudet. IceApplea ei ole liitetty tiettyyn hakkeriryhmään, mutta sen käytöksessä on merkkejä, jotka tyypillisesti liittyvät Kiinan linjaan kuuluviin, valtion tukemiin uhkatoimijoihin.
Tekniset yksityiskohdat
IceApple-kehys on verkkopohjainen ja koostuu vähintään 18 erilaisesta uhkaavasta moduulista. Sen on havaittu olevan käytössä Microsoft Exchange Server -esiintymissä, mutta se voi olla yhtä tehokas käytettäessä Internet Information Services (IIS) -verkkosovelluksia. Itse asiassa CrowdStrike OverWatchin mukaan haittaohjelman kehittäneillä kyberrikollisilla on täytynyt olla laaja ja syvä tieto IIS-ohjelmiston sisäisestä toiminnasta.
Tämä tieto on esimerkki IceApplen havaitsemis-väistötekniikoista. Eri moduulit ajetaan muistissa rikotun järjestelmän uhkien jalanjäljen vähentämiseksi. Lisäksi IceApple sulautuu järjestelmän luonnolliseen ympäristöön luomalla kokoonpanotiedostoja, jotka ensi silmäyksellä näyttävät olevan laillisesti IIS-verkkopalvelimen luomia.
Uhkaavat moduulit
IceApplen toiminnallisuus riippuu käyttöönotetuista moduuleista. Jokainen 18 tunnistetusta moduulista on suunniteltu suorittamaan tietty tehtävä, mukaan lukien valtuustietojen kerääminen, tiedostojärjestelmän käsittely poistamalla tiedostoja ja hakemistoja sekä luottamuksellisten ja arvokkaiden tietojen suodattaminen. Itse asiassa on olemassa moduuli yksittäisten tiedostojen suodattamiseen, ja toinen moduuli, joka pystyy salaamaan, pakkaamaan ja lataamaan useita tiedostoja kerralla. Tietoturvaasiantuntijat varoittavat, että IceApple on todennäköisesti edelleen aktiivisen kehityksen alla ja sen ominaisuuksia voidaan laajentaa entisestään ottamalla käyttöön lisämoduuleja.
