IceApple Malware

Злоумышленники используют сложную структуру вредоносных программ после эксплуатации в серии целевых атак по крайней мере с 2021 года. Это вредоносное ПО отслеживается как IceApple исследователями кибербезопасности из команды Falcon OverWatch, подразделения CrowdStrike по поиску угроз.

Согласно их выводам, киберпреступники нацелились на организации из нескольких отраслевых секторов — технологических, правительственных, академических и нескольких географических. Вероятной целью атак является кибершпионаж и кража данных. IceApple не был отнесен к какой-либо конкретной хакерской группе, но его поведение демонстрирует признаки, обычно связанные с поддерживаемыми государством субъектами угроз, связанными с Китаем.

Технические подробности

Фреймворк IceApple основан на сети и состоит как минимум из 18 различных модулей угроз. Было обнаружено, что он развернут на экземплярах Microsoft Exchange Server, но он может быть столь же эффективным при работе в веб-приложениях Internet Information Services (IIS). Фактически, согласно CrowdStrike OverWatch, киберпреступники, разработавшие вредоносное ПО, должны были обладать обширными и глубокими знаниями о внутренней работе программного обеспечения IIS.

Это знание иллюстрируется методами обнаружения-уклонения от IceApple. Различные модули запускаются в памяти, чтобы уменьшить воздействие угрозы на взломанные системы. Кроме того, IceApple вписывается в естественную среду системы, создавая файлы сборки, которые на первый взгляд кажутся законно сгенерированными веб-сервером IIS.

Угрожающие модули

Функциональность IceApple зависит от развернутых модулей. Каждый из 18 идентифицированных модулей предназначен для выполнения определенной задачи, включая сбор учетных данных, манипулирование файловой системой путем удаления файлов и каталогов, а также эксфильтрацию конфиденциальных и ценных данных. Фактически, есть модуль для извлечения одного файла и другой, способный шифровать, сжимать и загружать несколько файлов одновременно. Эксперты по безопасности предупреждают, что IceApple, вероятно, все еще находится в активной разработке, и его возможности могут быть расширены еще больше за счет введения дополнительных модулей.