Malware IceApple
Os agentes de ameaças têm usado uma sofisticada estrutura de malware pós-exploração, em uma série de ataques direcionados desde pelo menos 2021. O malware está sendo rastreado como IceApple pelos pesquisadores de segurança cibernética da equipe Falcon OverWatch, a divisão de caça a ameaças da CrowdStrike.
De acordo com suas descobertas, os cibercriminosos têm como alvo entidades em vários setores da indústria - tecnologia, governo, acadêmico e várias localizações geográficas. O provável objetivo das campanhas de ataque parece ser ciberespionagem e roubo de dados. O IceApple não foi atribuído a um grupo específico de hackers, mas seu comportamento mostra sinais tipicamente associados a agentes de ameaças patrocinados pelo Estado e alinhados à China.
Detalhes Técnicos
A estrutura IceApple é baseada na rede e consiste em pelo menos 18 módulos ameaçadores diferentes. Ele foi encontrado implantado em instâncias do Microsoft Exchange Server, mas pode ser igualmente eficaz ao ser executado nos aplicativos da Web do Internet Information Services (IIS). Na verdade, de acordo com o CrowdStrike OverWatch, os cibercriminosos que desenvolveram o malware devem ter conhecimento amplo e profundo sobre o funcionamento interno do software IIS.
Esse conhecimento é exemplificado nas técnicas de detecção e evasão do IceApple. Os diferentes módulos são executados na memória para reduzir a pegada da ameaça nos sistemas violados. Além disso, o IceApple combina com o ambiente natural do sistema, criando arquivos de montagem que, à primeira vista, parecem ser gerados legitimamente pelo servidor Web IIS.
Módulos Ameaçadores
A funcionalidade do IceApple depende dos módulos implantados. Cada um dos 18 módulos identificados é projetado para executar uma tarefa específica, incluindo a coleta de credenciais, a manipulação do sistema de arquivos excluindo arquivos e diretórios e a exfiltração de dados confidenciais e valiosos. Na verdade, existe um módulo para exfiltração de arquivo único e outro capaz de criptografar, compactar e fazer upload de vários arquivos ao mesmo tempo. Os especialistas em segurança alertam que o IceApple provavelmente ainda está em desenvolvimento ativo e seus recursos podem ser expandidos ainda mais com a introdução de módulos adicionais.
