IceApple Malware
Depuis au moins 2021, les auteurs de menaces utilisent un cadre sophistiqué de logiciels malveillants post-exploitation dans une série d'attaques ciblées. Le logiciel malveillant est suivi sous le nom d'IceApple par les chercheurs en cybersécurité de l'équipe Falcon OverWatch, la division de chasse aux menaces de CrowdStrike.
Selon leurs conclusions, les cybercriminels ont ciblé des entités dans plusieurs secteurs industriels - technologie, gouvernement, université et plusieurs emplacements géographiques. L'objectif probable des campagnes d'attaque semble être le cyberespionnage et le vol de données. IceApple n'a pas été attribué à un groupe de pirates informatiques spécifique, mais son comportement montre des signes généralement associés aux acteurs de la menace alignés sur la Chine et parrainés par l'État.
Détails techniques
Le framework IceApple est basé sur le net et se compose d'au moins 18 modules menaçants différents. Il a été trouvé déployé sur des instances Microsoft Exchange Server, mais il peut être tout aussi efficace lors de l'exécution sur des applications Web Internet Information Services (IIS). En fait, selon CrowdStrike OverWatch, les cybercriminels qui ont développé le logiciel malveillant doivent avoir une connaissance approfondie et approfondie du fonctionnement interne du logiciel IIS.
Cette connaissance est illustrée dans les techniques de détection-évasion d'IceApple. Les différents modules sont exécutés en mémoire pour réduire l'empreinte de la menace sur les systèmes piratés. De plus, IceApple se fond dans l'environnement naturel du système en créant des fichiers d'assemblage qui, à première vue, semblent être légitimement générés par le serveur Web IIS.
Modules menaçants
La fonctionnalité d'IceApple dépend des modules déployés. Chacun des 18 modules identifiés est conçu pour effectuer une tâche particulière, y compris la collecte d'informations d'identification, la manipulation du système de fichiers en supprimant des fichiers et des répertoires et l'exfiltration de données confidentielles et précieuses. En fait, il existe un module pour l'exfiltration d'un seul fichier, et un autre capable de chiffrer, compresser et télécharger plusieurs fichiers à la fois. Les experts en sécurité avertissent qu'IceApple est probablement encore en cours de développement actif et que ses capacités pourraient être encore étendues grâce à l'introduction de modules supplémentaires.
