IceApple Malware
至少自 2021 年以來,威脅參與者一直在使用複雜的利用後惡意軟件框架進行一系列有針對性的攻擊。該惡意軟件被 CrowdStrike 的威脅追踪部門 Falcon OverWatch 團隊的網絡安全研究人員追踪為 IceApple。
根據他們的調查結果,網絡犯罪分子針對多個行業領域的實體——技術、政府、學術和多個地理位置。攻擊活動的可能目標似乎是網絡間諜活動和數據盜竊。 IceApple 尚未歸咎於特定的黑客組織,但其行為顯示出通常與中國結盟、國家支持的威脅行為者相關的跡象。
技術細節
IceApple 框架是基於網絡的,由至少 18 個不同的威脅模塊組成。它已部署在 Microsoft Exchange Server 實例上,但在 Internet 信息服務 (IIS) Web 應用程序上運行時同樣有效。事實上,根據 CrowdStrike OverWatch 的說法,開發該惡意軟件的網絡犯罪分子必須對 IIS 軟件的內部運作有著廣泛而深入的了解。
IceApple 的檢測規避技術體現了這一知識。不同的模塊在內存中運行,以減少威脅對被破壞系統的影響。此外,IceApple 通過創建乍一看似乎是由 IIS Web 服務器合法生成的程序集文件,與系統的自然環境融為一體。
威脅模塊
IceApple 的功能取決於部署的模塊。 18 個已識別模塊中的每一個都旨在執行特定任務,包括收集憑據、通過刪除文件和目錄來操縱文件系統以及洩露機密和有價值的數據。事實上,有一個模塊用於單個文件洩露,另一個模塊可以一次加密、壓縮和上傳多個文件。安全專家警告說,IceApple 可能仍在積極開發中,其功能可能會通過引入其他模塊進一步擴展。
