IceApple Malware
Aktéri hrozieb používajú sofistikovaný rámec malvéru po exploatácii v sérii cielených útokov minimálne od roku 2021. Výskumníci v oblasti kybernetickej bezpečnosti v tíme Falcon OverWatch, divízii CrowdStrike na vyhľadávanie hrozieb, tento malvér sledujú ako IceApple.
Podľa ich zistení sa kyberzločinci zamerali na subjekty vo viacerých priemyselných odvetviach – technológie, vládu, akademické a viaceré geografické lokality. Zdá sa, že pravdepodobným cieľom útočných kampaní je kyberšpionáž a krádež údajov. IceApple nebol priradený konkrétnej skupine hackerov, ale jeho správanie vykazuje znaky, ktoré sa zvyčajne spájajú s činiteľmi hrozieb podporovanými štátom.
Technické detaily
Rámec IceApple je založený na sieti a pozostáva z najmenej 18 rôznych ohrozujúcich modulov. Zistilo sa, že je nasadený na inštanciách servera Microsoft Exchange Server, ale rovnako efektívny môže byť aj pri spustení na webových aplikáciách Internet Information Services (IIS). V skutočnosti, podľa CrowdStrike OverWatch, počítačoví zločinci, ktorí vyvinuli malvér, museli mať rozsiahle a hlboké znalosti o vnútornom fungovaní softvéru IIS.
Tieto znalosti sú ilustrované v technikách detekcie a úniku IceApple. Rôzne moduly sú spustené v pamäti, aby sa znížila stopa hrozby na narušených systémoch. Okrem toho IceApple zapadá do prirodzeného prostredia systému vytváraním súborov zostavy, ktoré sa na prvý pohľad zdajú byť legitímne generované webovým serverom IIS.
Ohrozujúce moduly
Funkčnosť IceApple závisí od nasadených modulov. Každý z 18 identifikovaných modulov je navrhnutý tak, aby vykonával určitú úlohu, vrátane zhromažďovania poverení, manipulácie so súborovým systémom vymazávaním súborov a adresárov a exfiltrácie dôverných a cenných údajov. V skutočnosti existuje modul na exfiltráciu jedného súboru a iný modul, ktorý dokáže šifrovať, komprimovať a nahrávať viacero súborov naraz. Bezpečnostní experti varujú, že IceApple je pravdepodobne stále v aktívnom vývoji a jeho schopnosti by sa mohli ešte rozšíriť zavedením ďalších modulov.
