IceApple Malware
Gli attori delle minacce utilizzano un sofisticato framework di malware post-sfruttamento in una serie di attacchi mirati almeno dal 2021. Il malware viene tracciato come IceApple dai ricercatori di sicurezza informatica del team Falcon OverWatch, la divisione di caccia alle minacce di CrowdStrike.
Secondo le loro scoperte, i criminali informatici hanno preso di mira entità in diversi settori industriali: tecnologia, governo, università e diverse località geografiche. Il probabile obiettivo delle campagne di attacco sembra essere lo spionaggio informatico e il furto di dati. IceApple non è stato attribuito a un gruppo di hacker specifico, ma il suo comportamento mostra segni tipicamente associati ad attori di minacce sponsorizzati dallo stato allineati alla Cina.
Dettagli tecnici
Il framework IceApple è basato sulla rete e consiste in almeno 18 diversi moduli minacciosi. È stato trovato distribuito su istanze di Microsoft Exchange Server, ma può essere altrettanto efficace quando viene eseguito su applicazioni Web di Internet Information Services (IIS). In effetti, secondo CrowdStrike OverWatch, i criminali informatici che hanno sviluppato il malware devono avere una conoscenza approfondita e approfondita del funzionamento interno del software IIS.
Questa conoscenza è esemplificata nelle tecniche di rilevamento-evasione di IceApple. I diversi moduli vengono eseguiti in memoria per ridurre l'impronta della minaccia sui sistemi violati. Inoltre, IceApple si integra con l'ambiente naturale del sistema creando file assembly che a prima vista sembrano essere legittimamente generati dal server Web IIS.
Moduli minacciosi
La funzionalità di IceApple dipende dai moduli distribuiti. Ciascuno dei 18 moduli identificati è progettato per eseguire un'attività particolare, inclusa la raccolta di credenziali, la manipolazione del file system eliminando file e directory e l'esfiltrazione di dati riservati e preziosi. Esiste infatti un modulo per l'esfiltrazione di file singoli e uno diverso in grado di crittografare, comprimere e caricare più file contemporaneamente. Gli esperti di sicurezza avvertono che IceApple è probabilmente ancora in fase di sviluppo attivo e le sue capacità potrebbero essere ulteriormente ampliate attraverso l'introduzione di moduli aggiuntivi.
