IceApple Malware

위협 행위자는 최소 2021년부터 일련의 표적 공격에서 정교한 악용 후 멀웨어 프레임워크를 사용해 왔습니다. 이 멀웨어는 CrowdStrike의 위협 헌팅 부서인 Falcon OverWatch 팀의 사이버 보안 연구원에 의해 IceApple로 추적되고 있습니다.

그들의 조사 결과에 따르면 사이버 범죄자들은 기술, 정부, 학계 및 여러 지리적 위치와 같은 여러 산업 분야의 조직을 표적으로 삼았습니다. 공격 캠페인의 가능한 목표는 사이버 스파이 활동 및 데이터 절도인 것으로 보입니다. IceApple이 특정 해커 그룹에 기인한 것은 아니지만 그 행동은 일반적으로 중국과 연계된 국가 후원 위협 행위자와 관련된 징후를 보여줍니다.

기술적 세부 사항

IceApple 프레임워크는 넷 기반이며 최소 18개의 서로 다른 위협 모듈로 구성됩니다. Microsoft Exchange Server 인스턴스에 배포된 것으로 확인되었지만 IIS(인터넷 정보 서비스) 웹 응용 프로그램에서 실행할 때도 똑같이 효과적일 수 있습니다. 실제로 CrowdStrike OverWatch에 따르면 맬웨어를 개발한 사이버 범죄자는 IIS 소프트웨어의 내부 작동에 대해 광범위하고 깊이 있는 지식을 가지고 있어야 합니다.

이 지식은 IceApple의 탐지 회피 기술에 예시되어 있습니다. 침해된 시스템에 대한 위협의 공간을 줄이기 위해 다양한 모듈이 메모리에서 실행됩니다. 또한 IceApple은 처음에는 IIS 웹 서버에서 합법적으로 생성된 것처럼 보이는 어셈블리 파일을 생성하여 시스템의 자연 환경과 조화를 이룹니다.

위협하는 모듈

IceApple의 기능은 배포된 모듈에 따라 다릅니다. 18개의 식별된 모듈 각각은 자격 증명 수집, 파일 및 디렉터리 삭제를 통한 파일 시스템 조작, 기밀 및 중요한 데이터 유출을 포함한 특정 작업을 수행하도록 설계되었습니다. 사실, 단일 파일 추출을 위한 모듈과 한 번에 여러 파일을 암호화, 압축 및 업로드할 수 있는 다른 모듈이 있습니다. 보안 전문가들은 IceApple이 아직 활발히 개발 중일 가능성이 높으며 추가 모듈 도입을 통해 기능이 더욱 확장될 수 있다고 경고합니다.