IceApple Malware

攻撃者は、少なくとも2021年以来、一連の標的型攻撃で高度な悪用後マルウェアフレームワークを使用しています。このマルウェアは、クラウドストライクの脅威ハンティング部門であるFalconOverWatchチームのサイバーセキュリティ研究者によってIceAppleとして追跡されています。

彼らの調査結果によると、サイバー犯罪者は、テクノロジー、政府、学術、および複数の地理的な場所など、いくつかの業界セクターにわたるエンティティを標的にしています。攻撃キャンペーンの可能性のある目標は、サイバースパイとデータの盗難であるように思われます。 IceAppleは特定のハッカーグループに起因するものではありませんが、その動作は、通常、中国と提携し、国が後援する脅威アクターに関連する兆候を示しています。

技術的な詳細

IceAppleフレームワークはネットベースであり、少なくとも18の異なる脅威モジュールで構成されています。 Microsoft Exchange Serverインスタンスに展開されていることがわかっていますが、インターネットインフォメーションサービス（IIS）Webアプリケーションで実行する場合も同様に効果的です。実際、CrowdStrike OverWatchによると、マルウェアを開発したサイバー犯罪者は、IISソフトウェアの内部動作について広範かつ深い知識を持っていたに違いありません。

この知識は、IceAppleの検出回避技術で例示されています。さまざまなモジュールがメモリ内で実行され、侵害されたシステムに対する脅威のフットプリントを削減します。さらに、IceAppleは、一見するとIIS Webサーバーによって合法的に生成されたように見えるアセンブリファイルを作成することにより、システムの自然環境に溶け込みます。

脅迫モジュール

IceAppleの機能は、デプロイされたモジュールに依存します。識別された18のモジュールはそれぞれ、資格情報の収集、ファイルとディレクトリの削除によるファイルシステムの操作、機密データや貴重なデータの抽出など、特定のタスクを実行するように設計されています。実際、単一ファイルの抽出用のモジュールと、一度に複数のファイルを暗号化、圧縮、およびアップロードできる別のモジュールがあります。セキュリティの専門家は、IceAppleはまだ活発に開発されている可能性が高く、追加のモジュールを導入することでその機能をさらに拡張できる可能性があると警告しています。