IceApple Malware
A fenyegetés szereplői kifinomult, kizsákmányolás utáni kártevő-keretrendszert használnak célzott támadások sorozatában legalább 2021 óta. A kártevőt IceApple néven követik a Falcon OverWatch csapat kiberbiztonsági kutatói, a CrowdStrike fenyegetésvadász részlege.
Megállapításaik szerint a kiberbűnözők számos iparági szektorban – technológiai, kormányzati, tudományos és több földrajzi helyen – érintett entitásokat célozták meg. Úgy tűnik, hogy a támadási kampányok célja a kiberkémkedés és az adatlopás. Az IceApple-t nem tulajdonították konkrét hackercsoportnak, de viselkedésében olyan jelek mutatkoznak, amelyek jellemzően a Kínához kötődő, államilag támogatott fenyegetés szereplőihez kapcsolódnak.
Műszaki információk
Az IceApple keretrendszer net alapú, és legalább 18 különböző fenyegető modulból áll. A Microsoft Exchange Server példányokon telepítve van, de ugyanolyan hatékony lehet az Internet Information Services (IIS) webalkalmazásokon való futtatásakor. Valójában a CrowdStrike OverWatch szerint a rosszindulatú szoftvert kifejlesztő kiberbűnözőknek széleskörű és mély ismeretekkel kellett rendelkezniük az IIS szoftverek belső működéséről.
Ezt a tudást az IceApple észlelési-elkerülési technikái példázzák. A különböző modulok a memóriában futnak, hogy csökkentsék a fenyegetés lábnyomát a feltört rendszereken. Ezen túlmenően az IceApple beleolvad a rendszer természetes környezetébe azáltal, hogy összeállítási fájlokat hoz létre, amelyek első ránézésre legitimnek tűnnek az IIS webszerver által generáltnak.
Fenyegető modulok
Az IceApple funkcionalitása a telepített moduloktól függ. A 18 azonosított modul mindegyikét egy adott feladat elvégzésére tervezték, beleértve a hitelesítő adatok gyűjtését, a fájlrendszer fájlok és könyvtárak törlésével történő kezelését, valamint a bizalmas és értékes adatok kiszűrését. Valójában van egy modul az egyetlen fájl kiszűrésére, és egy másik, amely képes egyszerre több fájl titkosítására, tömörítésére és feltöltésére. A biztonsági szakértők arra figyelmeztetnek, hogy az IceApple valószínűleg még aktív fejlesztés alatt áll, és képességei további modulok bevezetésével még tovább bővülhetnek.
