IceApple Malware
Akteri prijetnji koriste sofisticirani okvir zlonamjernog softvera nakon eksploatacije u nizu ciljanih napada od najmanje 2021. Zlonamjerni softver prate kao IceApple istraživači kibernetičke sigurnosti u Falcon OverWatch timu, odjelu za lov na prijetnje CrowdStrikea.
Prema njihovim nalazima, kibernetički kriminalci ciljali su subjekte u nekoliko industrijskih sektora - tehnologiju, državu, akademske i više geografskih lokacija. Vjerojatni cilj kampanja napada je kibernetička špijunaža i krađa podataka. IceApple nije pripisan određenoj hakerskoj skupini, ali njegovo ponašanje pokazuje znakove koji se obično povezuju s kineskim akterima prijetnji koje sponzorira država.
Tehnički detalji
IceApple framework temelji se na mreži i sastoji se od najmanje 18 različitih prijetećih modula. Utvrđeno je da je implementiran na instancama poslužitelja Microsoft Exchange, ali može biti jednako učinkovit kada se izvodi na web aplikacijama Internet Information Services (IIS). Zapravo, prema CrowdStrike OverWatchu, kibernetički kriminalci koji su razvili zlonamjerni softver morali su imati opsežno i duboko znanje o unutarnjem radu IIS softvera.
Ovo znanje je ilustrovano u tehnikama otkrivanja i izbjegavanja IceApplea. Različiti moduli se pokreću u memoriji kako bi se smanjio otisak prijetnje na provaljenim sustavima. Nadalje, IceApple se stapa s prirodnim okruženjem sustava stvaranjem datoteka sklopa za koje se na prvi pogled čini da su legitimno generirane od strane IIS web poslužitelja.
Prijeteći moduli
Funkcionalnost IceApplea ovisi o raspoređenim modulima. Svaki od 18 identificiranih modula dizajniran je za obavljanje određenog zadatka, uključujući prikupljanje vjerodajnica, manipuliranje datotečnim sustavom brisanjem datoteka i direktorija te eksfiltraciju povjerljivih i vrijednih podataka. Zapravo, postoji modul za eksfiltraciju jedne datoteke i drugi koji može istovremeno šifrirati, komprimirati i prenijeti više datoteka. Stručnjaci za sigurnost upozoravaju da je IceApple vjerojatno još uvijek u aktivnom razvoju, a njegove mogućnosti bi se mogle dodatno proširiti uvođenjem dodatnih modula.
