IceApple Malware
Tehdit aktörleri, en az 2021'den beri bir dizi hedefli saldırıda gelişmiş bir sömürü sonrası kötü amaçlı yazılım çerçevesi kullanıyor. Kötü amaçlı yazılım, CrowdStrike'ın tehdit avı bölümü olan Falcon OverWatch ekibindeki siber güvenlik araştırmacıları tarafından IceApple olarak izleniyor.
Bulgularına göre, siber suçlular teknoloji, hükümet ve akademik ve birden fazla coğrafi konum gibi çeşitli endüstri sektörlerindeki varlıkları hedef aldı. Saldırı kampanyalarının olası hedefi, siber casusluk ve veri hırsızlığı gibi görünüyor. IceApple, belirli bir hacker grubuna atfedilmiyor, ancak davranışı, tipik olarak Çin ile uyumlu, devlet destekli tehdit aktörleriyle ilişkili işaretler gösteriyor.
Teknik detaylar
IceApple çerçevesi ağ tabanlıdır ve en az 18 farklı tehdit modülünden oluşur. Microsoft Exchange Server örneklerinde konuşlandırıldığı bulunmuştur, ancak İnternet Bilgi Hizmetleri (IIS) web uygulamalarında çalıştırıldığında da aynı derecede etkili olabilir. Aslında, CrowdStrike OverWatch'a göre, kötü amaçlı yazılımı geliştiren siber suçlular, IIS yazılımının iç işleyişi hakkında kapsamlı ve derin bilgiye sahip olmalıdır.
Bu bilgi, IceApple'ın tespit-kaçınma tekniklerinde örneklenmiştir. İhlal edilen sistemlerdeki tehdidin ayak izini azaltmak için farklı modüller bellekte çalıştırılır. Ayrıca IceApple, ilk bakışta IIS Web sunucusu tarafından yasal olarak oluşturulmuş gibi görünen derleme dosyaları oluşturarak sistemin doğal ortamına uyum sağlar.
Tehdit Modülleri
IceApple'ın işlevselliği, dağıtılan modüllere bağlıdır. Tanımlanan 18 modülün her biri, kimlik bilgilerini toplama, dosya ve dizinleri silerek dosya sistemini manipüle etme ve gizli ve değerli verilerin sızdırılması dahil olmak üzere belirli bir görevi gerçekleştirmek üzere tasarlanmıştır. Aslında, tek dosya sızdırma için bir modül ve aynı anda birden çok dosyayı şifreleme, sıkıştırma ve yükleme yeteneğine sahip farklı bir modül vardır. Güvenlik uzmanları, IceApple'ın muhtemelen hala aktif geliştirme aşamasında olduğu ve yeteneklerinin ek modüllerin tanıtılmasıyla daha da genişletilebileceği konusunda uyarıyor.
