IceApple-Malware
Bedrohungsakteure verwenden seit mindestens 2021 ein ausgeklügeltes Post-Exploitation-Malware-Framework in einer Reihe von gezielten Angriffen. Die Malware wird von den Cybersicherheitsforschern des Falcon OverWatch-Teams, der Bedrohungsjagdabteilung von CrowdStrike, als IceApple verfolgt.
Ihren Erkenntnissen zufolge haben die Cyberkriminellen Unternehmen aus verschiedenen Branchen ins Visier genommen – Technologie, Regierung und Wissenschaft sowie mehrere geografische Standorte. Das wahrscheinliche Ziel der Angriffskampagnen scheint Cyberspionage und Datendiebstahl zu sein. IceApple wurde keiner bestimmten Hackergruppe zugeschrieben, aber sein Verhalten zeigt Anzeichen, die typischerweise mit China-verbundenen, staatlich geförderten Bedrohungsakteuren in Verbindung gebracht werden.
Technische Details
Das IceApple-Framework ist netzbasiert und besteht aus mindestens 18 verschiedenen Bedrohungsmodulen. Es wurde festgestellt, dass es auf Microsoft Exchange Server-Instanzen bereitgestellt wird, aber es kann genauso effektiv sein, wenn es auf Webanwendungen für Internetinformationsdienste (IIS) ausgeführt wird. Tatsächlich müssen laut CrowdStrike OverWatch die Cyberkriminellen, die die Malware entwickelt haben, umfassende und tiefgreifende Kenntnisse über die inneren Abläufe der IIS-Software gehabt haben.
Dieses Wissen wird in den Erkennungs-Umgehung-Techniken von IceApple veranschaulicht. Die verschiedenen Module werden im Arbeitsspeicher ausgeführt, um den Fußabdruck der Bedrohung auf angegriffenen Systemen zu reduzieren. Darüber hinaus fügt sich IceApple in die natürliche Umgebung des Systems ein, indem es Assembly-Dateien erstellt, die auf den ersten Blick rechtmäßig vom IIS-Webserver generiert zu sein scheinen.
Bedrohliche Module
Die Funktionalität von IceApple ist abhängig von den eingesetzten Modulen. Jedes der 18 identifizierten Module ist darauf ausgelegt, eine bestimmte Aufgabe auszuführen, darunter das Sammeln von Anmeldeinformationen, die Manipulation des Dateisystems durch Löschen von Dateien und Verzeichnissen und die Exfiltration vertraulicher und wertvoller Daten. Tatsächlich gibt es ein Modul für die Exfiltration einzelner Dateien und ein anderes, das mehrere Dateien gleichzeitig verschlüsseln, komprimieren und hochladen kann. Die Sicherheitsexperten warnen, dass sich IceApple wahrscheinlich noch in der aktiven Entwicklung befindet und seine Fähigkeiten durch die Einführung zusätzlicher Module noch weiter ausgebaut werden könnten.
