IceApple Malware

ผู้คุกคามได้ใช้เฟรมเวิร์กมัลแวร์หลังการแสวงประโยชน์ที่ซับซ้อนในชุดของการโจมตีแบบกำหนดเป้าหมายตั้งแต่ปี 2564 เป็นอย่างน้อย นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ทีม Falcon OverWatch แผนกล่ามภัยคุกคามของ CrowdStrike ได้ติดตามมัลแวร์ในชื่อ IceApple

จากการค้นพบของพวกเขา อาชญากรไซเบอร์ได้กำหนดเป้าหมายหน่วยงานในหลายภาคส่วนอุตสาหกรรม - เทคโนโลยี รัฐบาล นักวิชาการและที่ตั้งทางภูมิศาสตร์หลายแห่ง เป้าหมายที่เป็นไปได้ของแคมเปญโจมตีดูเหมือนจะเป็นการจารกรรมทางอินเทอร์เน็ตและการขโมยข้อมูล IceApple ไม่ได้เกิดจากกลุ่มแฮ็กเกอร์กลุ่มใดกลุ่มหนึ่ง แต่พฤติกรรมของมันแสดงให้เห็นสัญญาณที่มักเกี่ยวข้องกับผู้คุกคามที่จีนให้การสนับสนุนและได้รับการสนับสนุนจากรัฐ

รายละเอียดทางเทคนิค

กรอบงาน IceApple เป็นแบบเน็ตเวิร์กและประกอบด้วยโมดูลภัยคุกคามที่แตกต่างกันอย่างน้อย 18 โมดูล พบการใช้งานบนอินสแตนซ์ Microsoft Exchange Server แต่สามารถมีประสิทธิภาพเท่าเทียมกันเมื่อทำงานบนเว็บแอปพลิเคชัน Internet Information Services (IIS) จากข้อมูลของ CrowdStrike OverWatch อาชญากรไซเบอร์ที่พัฒนามัลแวร์จะต้องมีความรู้ที่กว้างขวางและลึกซึ้งเกี่ยวกับการทำงานภายในของซอฟต์แวร์ IIS

ความรู้นี้เป็นตัวอย่างที่ดีในเทคนิคการหลีกเลี่ยงการตรวจจับของ IceApple โมดูลต่างๆ จะรันในหน่วยความจำเพื่อลดรอยเท้าของภัยคุกคามบนระบบที่ถูกละเมิด นอกจากนี้ IceApple ยังผสมผสานกับสภาพแวดล้อมทางธรรมชาติของระบบโดยการสร้างไฟล์แอสเซมบลีที่เว็บเซิร์ฟเวอร์ IIS เว็บเซิร์ฟเวอร์ IIS สร้างขึ้นในรูปลักษณ์แรก

โมดูลภัยคุกคาม

การทำงานของ IceApple ขึ้นอยู่กับโมดูลที่ปรับใช้ แต่ละโมดูลที่ระบุทั้ง 18 โมดูลได้รับการออกแบบมาเพื่อทำงานเฉพาะ รวมถึงการรวบรวมข้อมูลรับรอง การจัดการระบบไฟล์โดยการลบไฟล์และไดเร็กทอรี และการกรองข้อมูลที่เป็นความลับและมีค่า อันที่จริง มีโมดูลสำหรับการกรองไฟล์เดียว และโมดูลอื่นที่สามารถเข้ารหัส บีบอัด และอัปโหลดไฟล์หลายไฟล์พร้อมกันได้ ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่า IceApple ยังคงอยู่ระหว่างการพัฒนา และสามารถขยายขีดความสามารถให้ดียิ่งขึ้นไปอีกผ่านการแนะนำโมดูลเพิ่มเติม