IceApple Malware
Зловмисники використовували складну структуру зловмисного програмного забезпечення після експлуатації у серії цілеспрямованих атак принаймні з 2021 року. Дослідники кібербезпеки з команди Falcon OverWatch, відділу пошуку загроз CrowdStrike, відстежують зловмисне програмне забезпечення як IceApple.
Згідно з їхніми висновками, кіберзлочинці націлені на організації в кількох галузях промисловості – технологічних, державних, академічних та кількох географічних місцях. Ймовірною метою атак є кібершпигунство та крадіжка даних. IceApple не віднесено до певної групи хакерів, але її поведінка демонструє ознаки, які зазвичай асоціюються з китайськими, спонсорованими державою загрозами.
Технічні деталі
Фреймворк IceApple заснований на мережі і складається щонайменше з 18 різних загрозливих модулів. Було виявлено, що він розгорнутий у екземплярах Microsoft Exchange Server, але він може бути настільки ж ефективним під час роботи у веб-програмах інформаційних служб Інтернету (IIS). Насправді, згідно з CrowdStrike OverWatch, кіберзлочинці, які розробили зловмисне програмне забезпечення, повинні були мати широкі та глибокі знання про внутрішню роботу програмного забезпечення IIS.
Прикладом цих знань є методи виявлення та ухилення від IceApple. Різні модулі запускаються в пам’яті, щоб зменшити вплив загрози на зламані системи. Крім того, IceApple поєднується з природним середовищем системи, створюючи файли збірки, які на перший погляд здаються законно створеними веб-сервером IIS.
Загрозливі модулі
Функціональність IceApple залежить від розгорнутих модулів. Кожен з 18 ідентифікованих модулів призначений для виконання певного завдання, включаючи збір облікових даних, маніпулювання файловою системою шляхом видалення файлів і каталогів, а також вилучення конфіденційних і цінних даних. Фактично, існує модуль для ексфільтрації одного файлу, а також інший, здатний шифрувати, стискати та завантажувати декілька файлів одночасно. Експерти з безпеки попереджають, що IceApple, швидше за все, все ще знаходиться в стадії активної розробки, і його можливості можуть бути ще більше розширені за рахунок впровадження додаткових модулів.