IceApple Malware
Gumagamit ang mga banta ng aktor ng isang sopistikadong post-exploitation malware framework sa isang serye ng mga naka-target na pag-atake mula noong hindi bababa sa 2021. Ang malware ay sinusubaybayan bilang IceApple ng mga mananaliksik ng cybersecurity sa Falcon OverWatch team, ang threat hunting division ng CrowdStrike.
Ayon sa kanilang mga natuklasan, ang mga cybercriminal ay nag-target ng mga entity sa ilang sektor ng industriya - teknolohiya, gobyerno, at akademiko at maramihang heyograpikong lokasyon. Ang malamang na layunin ng mga kampanya sa pag-atake ay lumilitaw na cyberespionage at pagnanakaw ng data. Ang IceApple ay hindi naiugnay sa isang partikular na pangkat ng hacker ngunit ang pag-uugali nito ay nagpapakita ng mga senyales na karaniwang nauugnay sa mga aktor ng pagbabanta na nakahanay sa China, na inisponsor ng estado.
Mga Detalye ng Teknikal
Ang balangkas ng IceApple ay nakabatay sa net at binubuo ng hindi bababa sa 18 iba't ibang nagbabantang mga module. Natagpuan itong naka-deploy sa mga instance ng Microsoft Exchange Server, ngunit maaari itong maging kasing epektibo kapag tumatakbo sa mga web application ng Internet Information Services (IIS). Sa katunayan, ayon sa CrowdStrike OverWatch, ang mga cybercriminal na bumuo ng malware ay dapat na may malawak at malalim na kaalaman tungkol sa mga panloob na gawain ng IIS software.
Ang kaalamang ito ay ipinakita sa mga diskarte sa pag-detect-evasion ng IceApple. Ang iba't ibang mga module ay pinapatakbo sa memorya upang mabawasan ang bakas ng mga banta sa mga nilabag na sistema. Higit pa rito, ang IceApple ay sumasama sa natural na kapaligiran ng system sa pamamagitan ng paglikha ng mga assembly file na sa unang tingin ay mukhang lehitimong nabuo ng IIS Web server.
Mga Module ng Pagbabanta
Nakadepende ang functionality ng IceApple sa mga naka-deploy na module. Ang bawat isa sa 18 natukoy na mga module ay idinisenyo upang magsagawa ng isang partikular na gawain, kabilang ang pagkolekta ng mga kredensyal, pagmamanipula sa file system sa pamamagitan ng pagtanggal ng mga file at direktoryo, at ang pag-exfiltrate ng kumpidensyal at mahalagang data. Sa katunayan, mayroong isang module para sa solong file exfiltration, at ibang isa na may kakayahang mag-encrypt, mag-compress at mag-upload ng maramihang mga file sa isang pagkakataon. Ang mga eksperto sa seguridad ay nagbabala na ang IceApple ay malamang na nasa ilalim pa rin ng aktibong pag-unlad, at ang mga kakayahan nito ay maaaring mapalawak pa sa pamamagitan ng pagpapakilala ng mga karagdagang module.
