IceApple Malware

Pelaku ancaman telah menggunakan rangka kerja perisian hasad pasca eksploitasi yang canggih dalam siri serangan yang disasarkan sejak sekurang-kurangnya 2021. Perisian hasad sedang dijejaki sebagai IceApple oleh penyelidik keselamatan siber di pasukan Falcon OverWatch, bahagian pemburu ancaman CrowdStrike.

Menurut penemuan mereka, penjenayah siber telah menyasarkan entiti merentas beberapa sektor industri - teknologi, kerajaan, dan akademik serta pelbagai lokasi geografi. Kemungkinan matlamat kempen serangan adalah pengintipan siber dan kecurian data. IceApple tidak dikaitkan dengan kumpulan penggodam tertentu tetapi tingkah lakunya menunjukkan tanda-tanda yang biasanya dikaitkan dengan pelakon ancaman yang ditaja negara yang sejajar dengan China.

Butiran Teknikal

Rangka kerja IceApple adalah berasaskan bersih dan terdiri daripada sekurang-kurangnya 18 modul mengancam yang berbeza. Ia didapati digunakan pada contoh Microsoft Exchange Server, tetapi ia boleh sama berkesan apabila dijalankan pada aplikasi web Perkhidmatan Maklumat Internet (IIS). Malah, menurut CrowdStrike OverWatch, penjenayah siber yang membangunkan perisian hasad mestilah mempunyai pengetahuan yang luas dan mendalam tentang kerja dalaman perisian IIS.

Pengetahuan ini ditunjukkan dalam teknik pengesanan-pengelak IceApple. Modul yang berbeza dijalankan dalam ingatan untuk mengurangkan jejak ancaman pada sistem yang dilanggar. Tambahan pula, IceApple menggabungkan dengan persekitaran semula jadi sistem dengan mencipta fail pemasangan yang pada pandangan pertama nampaknya dijana secara sah oleh pelayan Web IIS.

Modul Mengancam

Kefungsian IceApple bergantung pada modul yang digunakan. Setiap daripada 18 modul yang dikenal pasti direka untuk melaksanakan tugas tertentu, termasuk mengumpul bukti kelayakan, memanipulasi sistem fail dengan memadamkan fail dan direktori, dan penyusutan data sulit dan berharga. Malah, terdapat modul untuk exfiltration fail tunggal, dan modul lain yang mampu menyulitkan, memampatkan dan memuat naik berbilang fail pada satu masa. Pakar keselamatan memberi amaran bahawa IceApple berkemungkinan masih dalam pembangunan aktif, dan keupayaannya boleh diperluas lebih jauh melalui pengenalan modul tambahan.