IceApple Malware
Draudu dalībnieki ir izmantojuši sarežģītu pēcekspluatācijas ļaunprātīgas programmatūras sistēmu vairākos mērķtiecīgos uzbrukumos vismaz kopš 2021. gada. Ļaunprātīgo programmatūru kā IceApple izseko kiberdrošības pētnieki no Falcon OverWatch komandas, kas ir CrowdStrike draudu meklēšanas nodaļa.
Saskaņā ar viņu atklājumiem kibernoziedznieki ir vērsušies pret struktūrām vairākās nozares nozarēs - tehnoloģiju, valdības, kā arī akadēmiskās un vairākās ģeogrāfiskās vietās. Šķiet, ka uzbrukuma kampaņu iespējamais mērķis ir kiberspiegošana un datu zādzība. IceApple nav attiecināts uz konkrētu hakeru grupu, taču tā uzvedībā ir pazīmes, kas parasti ir saistītas ar Ķīnas atbalstītiem, valsts sponsorētiem apdraudējumiem.
Tehniskas detaļas
IceApple sistēma ir balstīta uz tīklu un sastāv no vismaz 18 dažādiem apdraudošiem moduļiem. Ir konstatēts, ka tas ir izvietots Microsoft Exchange Server gadījumos, taču tas var būt tikpat efektīvs, darbojoties interneta informācijas pakalpojumu (IIS) tīmekļa lietojumprogrammās. Faktiski saskaņā ar CrowdStrike OverWatch datiem kibernoziedzniekiem, kuri izstrādāja ļaunprātīgu programmatūru, ir jābūt plašām un dziļām zināšanām par IIS programmatūras iekšējo darbību.
Šīs zināšanas ir par piemēru IceApple atklāšanas un izvairīšanās tehnikās. Dažādi moduļi tiek darbināti atmiņā, lai samazinātu apdraudējuma ietekmi uz bojātajām sistēmām. Turklāt IceApple saplūst ar sistēmas dabisko vidi, izveidojot montāžas failus, kas pirmajā brīdī šķiet likumīgi ģenerēti IIS tīmekļa serverī.
Draudošie moduļi
IceApple funkcionalitāte ir atkarīga no izvietotajiem moduļiem. Katrs no 18 identificētajiem moduļiem ir paredzēts noteikta uzdevuma veikšanai, tostarp akreditācijas datu apkopošanai, failu sistēmas manipulēšanai, dzēšot failus un direktorijus, kā arī konfidenciālu un vērtīgu datu izfiltrēšanai. Faktiski ir modulis viena faila eksfiltrācijai un cits, kas spēj šifrēt, saspiest un augšupielādēt vairākus failus vienlaikus. Drošības eksperti brīdina, ka IceApple, visticamāk, joprojām tiek aktīvi izstrādāts, un tā iespējas varētu vēl vairāk paplašināt, ieviešot papildu moduļus.
