IceApple Malware
Hotaktörer har använt ett sofistikerat ramverk för skadlig programvara efter exploatering i en serie riktade attacker sedan åtminstone 2021. Skadlig programvara spåras som IceApple av cybersäkerhetsforskare på Falcon OverWatch-teamet, hotjaktavdelningen för CrowdStrike.
Enligt deras resultat har cyberbrottslingarna riktat in sig på enheter inom flera industrisektorer - teknik, myndigheter och akademiska och flera geografiska platser. Det troliga målet med attackkampanjerna verkar vara cyberspionage och datastöld. IceApple har inte tillskrivits en specifik hackergrupp men dess beteende visar tecken som vanligtvis förknippas med Kina-anslutna, statligt sponsrade hotaktörer.
Tekniska detaljer
IceApple-ramverket är nätbaserat och består av minst 18 olika hotfulla moduler. Det har visat sig vara distribuerat på Microsoft Exchange Server-instanser, men det kan vara lika effektivt när det körs på Internet Information Services (IIS) webbapplikationer. Enligt CrowdStrike OverWatch måste faktiskt de cyberbrottslingar som utvecklade skadlig programvara ha haft omfattande och djup kunskap om IIS-programvarans inre funktioner.
Denna kunskap exemplifieras i IceApples detekterings-undvikande tekniker. De olika modulerna körs i minnet för att minska fotavtrycket av hotet på intrångade system. Dessutom smälter IceApple in i systemets naturliga miljö genom att skapa assemblyfiler som vid första anblick verkar vara legitimt genererade av IIS-webbservern.
Hotande moduler
Funktionaliteten hos IceApple är beroende av de utplacerade modulerna. Var och en av de 18 identifierade modulerna är designade för att utföra en viss uppgift, inklusive att samla in autentiseringsuppgifter, manipulera filsystemet genom att radera filer och kataloger, och exfiltrering av konfidentiella och värdefulla data. Faktum är att det finns en modul för exfiltrering av en enda fil, och en annan som kan kryptera, komprimera och ladda upp flera filer samtidigt. Säkerhetsexperterna varnar för att IceApple sannolikt fortfarande är under aktiv utveckling, och dess kapacitet kan utökas ytterligare genom införandet av ytterligare moduler.
