IceApple Malware
कम्तिमा 2021 देखि लक्षित आक्रमणहरूको श्रृंखलामा थ्रेट अभिनेताहरूले एक परिष्कृत पोस्ट-शोषण मालवेयर फ्रेमवर्क प्रयोग गर्दै आएका छन्। CrowdStrike को खतरा शिकार विभाग, Falcon OverWatch टोलीका साइबरसुरक्षा अनुसन्धानकर्ताहरूले मालवेयरलाई IceApple को रूपमा ट्र्याक गर्दैछ।
तिनीहरूको निष्कर्ष अनुसार, साइबर अपराधीहरूले धेरै उद्योग क्षेत्रहरू - प्रविधि, सरकार, र शैक्षिक र बहु भौगोलिक स्थानहरूमा संस्थाहरूलाई लक्षित गरेका छन्। आक्रमण अभियानहरूको सम्भावित लक्ष्य साइबर जासूसी र डाटा चोरी भएको देखिन्छ। IceApple कुनै खास ह्याकर समूहलाई श्रेय दिइएको छैन तर यसको व्यवहारले चीन-संबद्ध, राज्य-प्रायोजित खतरा अभिनेताहरूसँग सम्बन्धित संकेतहरू देखाउँछ।
प्राविधिक विवरणहरू
IceApple फ्रेमवर्क नेट-आधारित छ र कम्तिमा 18 विभिन्न धम्की मोड्युलहरू समावेश गर्दछ। यो माइक्रोसफ्ट एक्सचेन्ज सर्भर उदाहरणहरूमा तैनात भएको फेला परेको छ, तर इन्टरनेट सूचना सेवा (IIS) वेब अनुप्रयोगहरूमा चल्दा यो समान रूपमा प्रभावकारी हुन सक्छ। वास्तवमा, CrowdStrike OverWatch को अनुसार, मालवेयर विकास गर्ने साइबर अपराधीहरूलाई IIS सफ्टवेयरको भित्री कार्यको बारेमा विस्तृत र गहिरो ज्ञान भएको हुनुपर्छ।
यो ज्ञान IceApple को पत्ता लगाउने-चोरी प्रविधिहरूमा उदाहरणीय छ। उल्लङ्घन गरिएका प्रणालीहरूमा खतराको पदचिह्न कम गर्न विभिन्न मोड्युलहरू मेमोरीमा चलाइन्छ। यसबाहेक, आइसएप्पलले प्रणालीको प्राकृतिक वातावरणसँग मिलाएर एसेम्बली फाइलहरू सिर्जना गर्छ जुन पहिलो नजरमा IIS वेब सर्भरद्वारा वैध रूपमा उत्पन्न भएको देखिन्छ।
धम्की मोड्युलहरू
IceApple को कार्यक्षमता तैनात मोड्युलहरूमा निर्भर छ। 18 पहिचान गरिएका मोड्युलहरू मध्ये प्रत्येक एक विशेष कार्य गर्न डिजाइन गरिएको छ, प्रमाणपत्रहरू सङ्कलन गर्ने, फाइलहरू र डाइरेक्टरीहरू मेटाएर फाइल प्रणालीलाई हेरफेर गर्ने, र गोप्य र मूल्यवान डाटाको निष्कासन सहित। वास्तवमा, त्यहाँ एकल फाइल एक्सफिल्ट्रेसनको लागि एक मोड्युल छ, र एकै समयमा धेरै फाइलहरू इन्क्रिप्ट गर्न, कम्प्रेस गर्न र अपलोड गर्न सक्षम एक फरक। सुरक्षा विशेषज्ञहरूले चेतावनी दिएका छन् कि IceApple अझै सक्रिय विकास अन्तर्गत छ, र यसको क्षमताहरू थप मोड्युलहरूको परिचय मार्फत अझ विस्तार गर्न सकिन्छ।
