IceApple Malware

Od co najmniej 2021 r. cyberprzestępcy wykorzystują wyrafinowaną platformę szkodliwego oprogramowania post-eksploatacyjnego w serii ataków ukierunkowanych. Szkodnik ten jest śledzony jako IceApple przez badaczy cyberbezpieczeństwa z zespołu Falcon OverWatch, oddziału zajmującego się polowaniem na zagrożenia firmy CrowdStrike.

Zgodnie z ich ustaleniami cyberprzestępcy namierzyli podmioty z kilku sektorów przemysłu – technologicznego, rządowego, akademickiego i wielu lokalizacji geograficznych. Prawdopodobnym celem kampanii ataku wydaje się być cyberszpiegostwo i kradzież danych. IceApple nie zostało przypisane do konkretnej grupy hakerów, ale jego zachowanie wykazuje oznaki typowo kojarzone z powiązanymi z Chinami, sponsorowanymi przez państwo cyberprzestępcami.

Szczegóły techniczne

Framework IceApple jest oparty na sieci i składa się z co najmniej 18 różnych modułów zagrażających. Został wdrożony w instancjach Microsoft Exchange Server, ale może być równie skuteczny, gdy działa w aplikacjach internetowych Internetowych usług informacyjnych (IIS). W rzeczywistości, według CrowdStrike OverWatch, cyberprzestępcy, którzy opracowali szkodliwe oprogramowanie, musieli mieć rozległą i głęboką wiedzę na temat wewnętrznego działania oprogramowania IIS.

Ta wiedza jest zilustrowana w technikach wykrywania-unikania IceApple. Różne moduły są uruchamiane w pamięci, aby zmniejszyć ślad zagrożenia w naruszonych systemach. Co więcej, IceApple wtapia się w naturalne środowisko systemu, tworząc pliki montażowe, które na pierwszy rzut oka wydają się być legalnie generowane przez serwer sieciowy IIS.

Moduły grożące

Funkcjonalność IceApple zależy od wdrożonych modułów. Każdy z 18 zidentyfikowanych modułów jest przeznaczony do wykonywania określonego zadania, w tym zbierania poświadczeń, manipulowania systemem plików poprzez usuwanie plików i katalogów oraz eksfiltracji poufnych i cennych danych. W rzeczywistości istnieje moduł do eksfiltracji pojedynczych plików i inny, który może szyfrować, kompresować i przesyłać wiele plików jednocześnie. Eksperci od bezpieczeństwa ostrzegają, że IceApple prawdopodobnie nadal jest aktywnie rozwijany, a jego możliwości można by jeszcze bardziej rozszerzyć poprzez wprowadzenie dodatkowych modułów.