IceApple Malware
Udeleženci grožnje uporabljajo izpopolnjen okvir zlonamerne programske opreme po izkoriščanju v vrsti ciljnih napadov vsaj od leta 2021. Raziskovalci kibernetske varnosti v skupini Falcon OverWatch, oddelku za lov na grožnje pri CrowdStrike, sledijo zlonamerni programski opremi kot IceApple.
Po njihovih ugotovitvah so kibernetski kriminalci ciljali na subjekte v več industrijskih sektorjih – tehnološki, državni, akademski in na več geografskih lokacijah. Zdi se, da sta verjetni cilj napadov kibernetsko vohunjenje in kraja podatkov. IceApple ni bil pripisan določeni hekerski skupini, vendar njegovo vedenje kaže znake, ki so običajno povezani s Kitajsko usklajenimi, državno sponzoriranimi akterji grožnje.
Tehnične podrobnosti
Okvir IceApple temelji na omrežju in je sestavljen iz vsaj 18 različnih ogrožajočih modulov. Ugotovljeno je bilo, da je nameščen na primerkih strežnika Microsoft Exchange Server, vendar je lahko enako učinkovit pri izvajanju v spletnih aplikacijah internetnih informacijskih storitev (IIS). Pravzaprav so po mnenju CrowdStrike OverWatch morali imeti kibernetski kriminalci, ki so razvili zlonamerno programsko opremo, obsežno in globoko znanje o notranjem delovanju programske opreme IIS.
To znanje je ponazorjeno v tehnikah zaznavanja in izogibanja IceApple. Različni moduli se izvajajo v pomnilniku, da zmanjšajo odtis grožnje na vlomljenih sistemih. Poleg tega se IceApple zlije z naravnim okoljem sistema z ustvarjanjem montažnih datotek, za katere se na prvi pogled zdi, da jih zakonito ustvari spletni strežnik IIS.
Nevarni moduli
Funkcionalnost IceApple je odvisna od nameščenih modulov. Vsak od 18 identificiranih modulov je zasnovan za izvajanje določene naloge, vključno z zbiranjem poverilnic, manipuliranjem datotečnega sistema z brisanjem datotek in imenikov ter izločanjem zaupnih in dragocenih podatkov. Pravzaprav obstaja modul za ekstrakcijo ene datoteke in drug modul, ki lahko šifrira, stisne in naloži več datotek hkrati. Strokovnjaki za varnost opozarjajo, da je IceApple verjetno še v aktivnem razvoju, njegove zmogljivosti pa bi lahko še dodatno razširili z uvedbo dodatnih modulov.
