IceApple Malware
至少自 2021 年以来,威胁参与者一直在使用复杂的利用后恶意软件框架进行一系列有针对性的攻击。该恶意软件被 CrowdStrike 的威胁追踪部门 Falcon OverWatch 团队的网络安全研究人员追踪为 IceApple。
根据他们的调查结果,网络犯罪分子针对多个行业领域的实体——技术、政府、学术和多个地理位置。攻击活动的可能目标似乎是网络间谍活动和数据盗窃。 IceApple 并未归咎于特定的黑客组织,但其行为显示出通常与中国结盟、国家支持的威胁行为者相关的迹象。
技术细节
IceApple 框架是基于网络的,由至少 18 个不同的威胁模块组成。它已部署在 Microsoft Exchange Server 实例上,但在 Internet 信息服务 (IIS) Web 应用程序上运行时同样有效。事实上,根据 CrowdStrike OverWatch 的说法,开发该恶意软件的网络犯罪分子必须对 IIS 软件的内部运作有着广泛而深入的了解。
IceApple 的检测规避技术体现了这一知识。不同的模块在内存中运行,以减少威胁对被破坏系统的影响。此外,IceApple 通过创建乍一看似乎是由 IIS Web 服务器合法生成的程序集文件,与系统的自然环境融为一体。
威胁模块
IceApple 的功能取决于部署的模块。 18 个已识别模块中的每一个都旨在执行特定任务,包括收集凭据、通过删除文件和目录来操纵文件系统以及泄露机密和有价值的数据。实际上,有一个模块用于单个文件泄露,另一个模块可以一次加密、压缩和上传多个文件。安全专家警告说,IceApple 可能仍在积极开发中,其功能可能会通过引入其他模块进一步扩展。
