IceApple Malware

Актери претњи користе софистицирани оквир малвера након експлоатације у низу циљаних напада од најмање 2021. Малвер прате као ИцеАппле истраживачи сајбер безбедности у Фалцон ОверВатцх тиму, одељењу за лов на претње ЦровдСтрике-а.

Према њиховим налазима, сајбер криминалци су циљали субјекте у неколико индустријских сектора – технолошки, владини, академски и више географских локација. Чини се да је вероватни циљ кампања напада сајбер шпијунажа и крађа података. ИцеАппле није приписан одређеној хакерској групи, али његово понашање показује знаке који се обично повезују са актерима претњи које подржава Кина и спонзорише држава.

Технички детаљи

ИцеАппле оквир је заснован на мрежи и састоји се од најмање 18 различитих претећих модула. Утврђено је да је примењен на инстанцама Мицрософт Екцханге сервера, али може бити подједнако ефикасан када се покреће на веб апликацијама Интернет Информатион Сервицес (ИИС). У ствари, према ЦровдСтрике ОверВатцх-у, сајбер криминалци који су развили малвер морали су имати опсежно и дубоко знање о унутрашњем функционисању ИИС софтвера.

Ово знање је илустровано у техникама откривања и избегавања ИцеАппле-а. Различити модули се покрећу у меморији како би се смањио отисак претње на проваљени систем. Штавише, ИцеАппле се стапа са природним окружењем система креирањем датотека склопа за које се на први поглед чини да су легитимно генерисане од стране ИИС веб сервера.

Претећи модули

Функционалност ИцеАппле-а зависи од распоређених модула. Сваки од 18 идентификованих модула је дизајниран за обављање одређеног задатка, укључујући прикупљање акредитива, манипулисање системом датотека брисањем датотека и директоријума и ексфилтрацију поверљивих и вредних података. У ствари, постоји модул за ексфилтрацију једне датотеке, и други који може да шифрује, компресује и отпрема више датотека истовремено. Стручњаци за безбедност упозоравају да је ИцеАппле вероватно још увек у активном развоју и да би се његове могућности могле још више проширити увођењем додатних модула.