IceApple Malware
ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਘੱਟੋ-ਘੱਟ 2021 ਤੋਂ ਨਿਸ਼ਾਨਾ ਹਮਲਿਆਂ ਦੀ ਇੱਕ ਲੜੀ ਵਿੱਚ ਇੱਕ ਵਧੀਆ ਪੋਸਟ-ਸ਼ੋਸ਼ਣ ਮਾਲਵੇਅਰ ਫਰੇਮਵਰਕ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ। CrowdStrike ਦੇ ਖ਼ਤਰੇ ਦਾ ਸ਼ਿਕਾਰ ਵਿਭਾਗ, Falcon OverWatch ਟੀਮ ਦੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਮਾਲਵੇਅਰ ਨੂੰ IceApple ਵਜੋਂ ਟਰੈਕ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ।
ਉਨ੍ਹਾਂ ਦੀਆਂ ਖੋਜਾਂ ਦੇ ਅਨੁਸਾਰ, ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੇ ਕਈ ਉਦਯੋਗਿਕ ਖੇਤਰਾਂ - ਤਕਨਾਲੋਜੀ, ਸਰਕਾਰ ਅਤੇ ਅਕਾਦਮਿਕ ਅਤੇ ਕਈ ਭੂਗੋਲਿਕ ਸਥਾਨਾਂ ਵਿੱਚ ਇਕਾਈਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ। ਹਮਲੇ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਦਾ ਸੰਭਾਵਿਤ ਟੀਚਾ ਸਾਈਬਰ ਜਾਸੂਸੀ ਅਤੇ ਡੇਟਾ ਚੋਰੀ ਪ੍ਰਤੀਤ ਹੁੰਦਾ ਹੈ। IceApple ਨੂੰ ਕਿਸੇ ਖਾਸ ਹੈਕਰ ਸਮੂਹ ਨਾਲ ਨਹੀਂ ਜੋੜਿਆ ਗਿਆ ਹੈ ਪਰ ਇਸਦਾ ਵਿਵਹਾਰ ਖਾਸ ਤੌਰ 'ਤੇ ਚੀਨ-ਗੱਠਜੋੜ, ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨਾਲ ਜੁੜੇ ਸੰਕੇਤ ਦਿਖਾਉਂਦਾ ਹੈ।
ਤਕਨੀਕੀ ਵੇਰਵੇ
IceApple ਫਰੇਮਵਰਕ ਨੈੱਟ-ਅਧਾਰਿਤ ਹੈ ਅਤੇ ਇਸ ਵਿੱਚ ਘੱਟੋ-ਘੱਟ 18 ਵੱਖ-ਵੱਖ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਮੋਡੀਊਲ ਹਨ। ਇਹ ਮਾਈਕਰੋਸਾਫਟ ਐਕਸਚੇਂਜ ਸਰਵਰ ਮੌਕਿਆਂ 'ਤੇ ਤੈਨਾਤ ਪਾਇਆ ਗਿਆ ਹੈ, ਪਰ ਇਹ ਇੰਟਰਨੈਟ ਇਨਫਰਮੇਸ਼ਨ ਸਰਵਿਸਿਜ਼ (IIS) ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ 'ਤੇ ਚੱਲਦੇ ਸਮੇਂ ਬਰਾਬਰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਹੋ ਸਕਦਾ ਹੈ। ਵਾਸਤਵ ਵਿੱਚ, CrowdStrike OverWatch ਦੇ ਅਨੁਸਾਰ, ਮਾਲਵੇਅਰ ਨੂੰ ਵਿਕਸਤ ਕਰਨ ਵਾਲੇ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੂੰ IIS ਸੌਫਟਵੇਅਰ ਦੇ ਅੰਦਰੂਨੀ ਕਾਰਜਾਂ ਬਾਰੇ ਵਿਆਪਕ ਅਤੇ ਡੂੰਘੀ ਜਾਣਕਾਰੀ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ।
ਇਹ ਗਿਆਨ IceApple ਦੀ ਖੋਜ-ਚੋਰੀ ਤਕਨੀਕਾਂ ਵਿੱਚ ਉਦਾਹਰਨ ਹੈ। ਵੱਖੋ-ਵੱਖਰੇ ਮੋਡੀਊਲ ਮੈਮੋਰੀ ਵਿੱਚ ਚਲਾਏ ਜਾਂਦੇ ਹਨ ਤਾਂ ਜੋ ਉਲੰਘਣਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਖਤਰੇ ਦੇ ਪੈਰਾਂ ਦੇ ਨਿਸ਼ਾਨ ਨੂੰ ਘੱਟ ਕੀਤਾ ਜਾ ਸਕੇ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਆਈਸਐਪਲ ਅਸੈਂਬਲੀ ਫਾਈਲਾਂ ਬਣਾ ਕੇ ਸਿਸਟਮ ਦੇ ਕੁਦਰਤੀ ਵਾਤਾਵਰਣ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ ਜੋ ਪਹਿਲੀ ਨਜ਼ਰ 'ਤੇ IIS ਵੈੱਬ ਸਰਵਰ ਦੁਆਰਾ ਜਾਇਜ਼ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੀਆਂ ਜਾਪਦੀਆਂ ਹਨ।
ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਮੋਡੀਊਲ
IceApple ਦੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਤੈਨਾਤ ਮੋਡੀਊਲ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ। ਪਛਾਣੇ ਗਏ 18 ਮਾਡਿਊਲਾਂ ਵਿੱਚੋਂ ਹਰੇਕ ਨੂੰ ਇੱਕ ਖਾਸ ਕੰਮ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿਸ ਵਿੱਚ ਪ੍ਰਮਾਣ ਪੱਤਰ ਇਕੱਠੇ ਕਰਨਾ, ਫਾਈਲਾਂ ਅਤੇ ਡਾਇਰੈਕਟਰੀਆਂ ਨੂੰ ਮਿਟਾ ਕੇ ਫਾਈਲ ਸਿਸਟਮ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਨਾ, ਅਤੇ ਗੁਪਤ ਅਤੇ ਕੀਮਤੀ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣਾ ਸ਼ਾਮਲ ਹੈ। ਵਾਸਤਵ ਵਿੱਚ, ਸਿੰਗਲ ਫਾਈਲ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਲਈ ਇੱਕ ਮੋਡੀਊਲ ਹੈ, ਅਤੇ ਇੱਕ ਵੱਖਰਾ ਹੈ ਜੋ ਇੱਕ ਸਮੇਂ ਵਿੱਚ ਕਈ ਫਾਈਲਾਂ ਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਨ, ਸੰਕੁਚਿਤ ਕਰਨ ਅਤੇ ਅਪਲੋਡ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ। ਸੁਰੱਖਿਆ ਮਾਹਰ ਚੇਤਾਵਨੀ ਦਿੰਦੇ ਹਨ ਕਿ IceApple ਅਜੇ ਵੀ ਸਰਗਰਮ ਵਿਕਾਸ ਅਧੀਨ ਹੈ, ਅਤੇ ਇਸਦੀ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਵਾਧੂ ਮਾਡਿਊਲਾਂ ਦੀ ਸ਼ੁਰੂਆਤ ਦੁਆਰਾ ਹੋਰ ਵੀ ਵਧਾਇਆ ਜਾ ਸਕਦਾ ਹੈ।
