Threat Database Malware IceApple-malware

IceApple-malware

Bedreigingsactoren gebruiken sinds ten minste 2021 een geavanceerd post-exploitation malware-framework in een reeks gerichte aanvallen. De malware wordt gevolgd als IceApple door de cyberbeveiligingsonderzoekers van het Falcon OverWatch-team, de divisie voor het opsporen van bedreigingen van CrowdStrike.

Volgens hun bevindingen hebben de cybercriminelen zich gericht op entiteiten in verschillende industriesectoren - technologie, overheid en academische en meerdere geografische locaties. Het waarschijnlijke doel van de aanvalscampagnes lijkt cyberspionage en gegevensdiefstal te zijn. IceApple is niet toegeschreven aan een specifieke hackergroep, maar het gedrag vertoont tekenen die doorgaans worden geassocieerd met op China afgestemde, door de staat gesponsorde dreigingsactoren.

Technische details

Het IceApple-framework is netgebaseerd en bestaat uit minimaal 18 verschillende bedreigende modules. Het is geïmplementeerd op Microsoft Exchange Server-instanties, maar het kan even effectief zijn als het wordt uitgevoerd op Internet Information Services (IIS)-webtoepassingen. Volgens CrowdStrike OverWatch moeten de cybercriminelen die de malware hebben ontwikkeld zelfs uitgebreide en diepgaande kennis hebben gehad van de interne werking van IIS-software.

Deze kennis wordt geïllustreerd in de detectie-ontduikingstechnieken van IceApple. De verschillende modules worden in het geheugen uitgevoerd om de voetafdruk van de dreiging op gehackte systemen te verkleinen. Bovendien gaat IceApple op in de natuurlijke omgeving van het systeem door assembly-bestanden te maken die op het eerste gezicht legitiem lijken te zijn gegenereerd door de IIS-webserver.

Bedreigende modules

De functionaliteit van IceApple is afhankelijk van de ingezette modules. Elk van de 18 geïdentificeerde modules is ontworpen om een bepaalde taak uit te voeren, waaronder het verzamelen van inloggegevens, het manipuleren van het bestandssysteem door bestanden en mappen te verwijderen en het onderscheppen van vertrouwelijke en waardevolle gegevens. In feite is er een module voor exfiltratie van één bestand en een andere die in staat is om meerdere bestanden tegelijk te coderen, comprimeren en uploaden. De beveiligingsexperts waarschuwen dat IceApple waarschijnlijk nog volop in ontwikkeling is en dat de mogelijkheden nog verder kunnen worden uitgebreid door de introductie van extra modules.

Trending

Meest bekeken

Bezig met laden...