IceApple Malware
Aktorët e kërcënimit kanë përdorur një kornizë të sofistikuar malware pas shfrytëzimit në një seri sulmesh të synuara që nga të paktën 2021. Malware po gjurmohet si IceApple nga studiuesit e sigurisë kibernetike në ekipin Falcon OverWatch, divizioni i gjuetisë së kërcënimeve të CrowdStrike.
Sipas gjetjeve të tyre, kriminelët kibernetikë kanë shënjestruar entitete në disa sektorë të industrisë - teknologji, qeveri dhe vende akademike dhe të shumta gjeografike. Qëllimi i mundshëm i fushatave të sulmit duket të jetë spiunazhi kibernetik dhe vjedhja e të dhënave. IceApple nuk i është atribuar një grupi të caktuar hakerash, por sjellja e tij tregon shenja që zakonisht lidhen me aktorë kërcënimi të mbështetur nga Kina.
Detaje teknike
Korniza IceApple është e bazuar në rrjet dhe përbëhet nga të paktën 18 module të ndryshme kërcënuese. Është gjetur i vendosur në shembujt e Microsoft Exchange Server, por mund të jetë po aq efektiv kur funksionon në aplikacionet e internetit të Shërbimeve të Informacionit të Internetit (IIS). Në fakt, sipas CrowdStrike OverWatch, kriminelët kibernetikë që zhvilluan malware duhet të kenë pasur njohuri të gjera dhe të thella në lidhje me funksionimin e brendshëm të softuerit IIS.
Kjo njohuri është ilustruar në teknikat e zbulimit-evazionit të IceApple. Modulet e ndryshme funksionojnë në memorie për të reduktuar gjurmën e kërcënimit në sistemet e shkelura. Për më tepër, IceApple përzihet me mjedisin natyror të sistemit duke krijuar skedarë montimi që në pamje të parë duket se janë krijuar në mënyrë legjitime nga serveri i uebit IIS.
Modulet kërcënuese
Funksionaliteti i IceApple varet nga modulet e vendosura. Secili nga 18 modulet e identifikuara është krijuar për të kryer një detyrë të veçantë, duke përfshirë mbledhjen e kredencialeve, manipulimin e sistemit të skedarëve duke fshirë skedarët dhe drejtoritë, dhe nxjerrjen e të dhënave konfidenciale dhe të vlefshme. Në fakt, ekziston një modul për eksfiltrimin e një skedari të vetëm dhe një tjetër i aftë për të kriptuar, kompresuar dhe ngarkuar skedarë të shumtë në të njëjtën kohë. Ekspertët e sigurisë paralajmërojnë se IceApple ka të ngjarë të jetë ende në zhvillim aktiv dhe aftësitë e tij mund të zgjerohen edhe më tej përmes prezantimit të moduleve shtesë.
