IceApple Malware
Trusselaktører har brukt et sofistikert rammeverk for skadevare etter utnyttelse i en serie målrettede angrep siden minst 2021. Skadevaren blir sporet som IceApple av cybersikkerhetsforskerne ved Falcon OverWatch-teamet, trusseljaktavdelingen til CrowdStrike.
I følge funnene deres har nettkriminelle målrettet mot enheter på tvers av flere industrisektorer - teknologi, myndigheter og akademiske og flere geografiske steder. Det sannsynlige målet med angrepskampanjene ser ut til å være nettspionasje og datatyveri. IceApple har ikke blitt tilskrevet en spesifikk hackergruppe, men oppførselen viser tegn som vanligvis er assosiert med Kina-justerte, statssponsede trusselaktører.
Tekniske detaljer
IceApple-rammeverket er nettbasert og består av minst 18 forskjellige truende moduler. Det har blitt funnet utplassert på Microsoft Exchange Server-forekomster, men det kan være like effektivt når det kjøres på Internet Information Services (IIS) nettapplikasjoner. Faktisk, ifølge CrowdStrike OverWatch, må nettkriminelle som utviklet skadevaren ha hatt omfattende og dyp kunnskap om den indre funksjonen til IIS-programvare.
Denne kunnskapen er eksemplifisert i deteksjon-unnvikelsesteknikkene til IceApple. De forskjellige modulene kjøres i minnet for å redusere fotavtrykket til trusselen på systemer som brytes. Dessuten smelter IceApple inn i systemets naturlige miljø ved å lage monteringsfiler som ved første øyekast ser ut til å være legitimt generert av IIS-nettserveren.
Truende moduler
Funksjonaliteten til IceApple er avhengig av de utplasserte modulene. Hver av de 18 identifiserte modulene er designet for å utføre en bestemt oppgave, inkludert innsamling av legitimasjon, manipulering av filsystemet ved å slette filer og kataloger, og eksfiltrering av konfidensielle og verdifulle data. Faktisk er det en modul for enkeltfileksfiltrering, og en annen som er i stand til å kryptere, komprimere og laste opp flere filer om gangen. Sikkerhetsekspertene advarer om at IceApple sannsynligvis fortsatt er under aktiv utvikling, og mulighetene kan utvides ytterligere gjennom introduksjon av tilleggsmoduler.
