IceApple Malware

שחקני איומים משתמשים במסגרת מתוחכמת שלאחר ניצול תוכנות זדוניות בסדרה של התקפות ממוקדות מאז 2021 לפחות. התוכנה הזדונית נמצאת במעקב בתור IceApple על ידי חוקרי אבטחת הסייבר בצוות Falcon OverWatch, חטיבת ציד האיומים של CrowdStrike.

על פי הממצאים שלהם, פושעי הסייבר תקפו גופים בכמה מגזרי תעשייה - טכנולוגיה, ממשלה ואקדמיה ומקומות גיאוגרפיים מרובים. נראה שהמטרה הסבירה של קמפיינים לתקיפה היא ריגול סייבר וגניבת מידע. IceApple לא יוחסה לקבוצת האקרים ספציפית, אך התנהגותה מראה סימנים הקשורים בדרך כלל לשחקנים מיושרים בסין, בחסות המדינה.

פרטים טכניים

המסגרת של IceApple מבוססת רשת ומורכבת לפחות מ-18 מודולים מאיימים שונים. זה נמצא פרוס במופעים של Microsoft Exchange Server, אבל זה יכול להיות יעיל באותה מידה כאשר הוא פועל על יישומי אינטרנט של שירותי מידע באינטרנט (IIS). למעשה, לפי CrowdStrike OverWatch, פושעי הסייבר שפיתחו את התוכנה הזדונית בוודאי היו בעלי ידע נרחב ועמוק על פעולתה הפנימית של תוכנת IIS.

ידע זה מודגם בטכניקות זיהוי-התחמקות של IceApple. המודולים השונים מופעלים בזיכרון כדי לצמצם את טביעת הרגל של האיום על מערכות שנפרצו. יתר על כן, IceApple משתלב עם הסביבה הטבעית של המערכת על ידי יצירת קבצי assembly שבמבט ראשון נראה שנוצרו באופן לגיטימי על ידי שרת האינטרנט של IIS.

מודולים מאיימים

הפונקציונליות של IceApple תלויה במודולים הפרוסים. כל אחד מ-18 המודולים שזוהו נועד לבצע משימה מסוימת, לרבות איסוף אישורים, מניפולציה של מערכת הקבצים על ידי מחיקת קבצים וספריות, והסרת נתונים חסויים ובעלי ערך. למעשה, ישנו מודול לחילוף קבצים בודדים, ומודול שונה המסוגל להצפין, לדחוס ולהעלות מספר קבצים בו-זמנית. מומחי האבטחה מזהירים כי IceApple כנראה עדיין בפיתוח פעיל, ויכולותיה עשויות להתרחב עוד יותר באמצעות הכנסת מודולים נוספים.