IceApple Malware
Los actores de amenazas han estado utilizando un sofisticado marco de malware posterior a la explotación en una serie de ataques dirigidos desde al menos 2021. Los investigadores de ciberseguridad del equipo Falcon OverWatch, la división de caza de amenazas de CrowdStrike, rastrean el malware como IceApple.
Según sus hallazgos, los ciberdelincuentes se han dirigido a entidades en varios sectores de la industria: tecnología, gobierno y académico y múltiples ubicaciones geográficas. El objetivo probable de las campañas de ataque parece ser el ciberespionaje y el robo de datos. IceApple no se ha atribuido a un grupo de piratas informáticos específico, pero su comportamiento muestra signos típicamente asociados con actores de amenazas patrocinados por el estado alineados con China.
Detalles técnicos
El marco IceApple está basado en la red y consta de al menos 18 módulos amenazantes diferentes. Se ha encontrado implementado en instancias de Microsoft Exchange Server, pero puede ser igualmente efectivo cuando se ejecuta en aplicaciones web de Internet Information Services (IIS). De hecho, según CrowdStrike OverWatch, los ciberdelincuentes que desarrollaron el malware deben haber tenido un conocimiento amplio y profundo sobre el funcionamiento interno del software IIS.
Este conocimiento se ejemplifica en las técnicas de detección-evasión de IceApple. Los diferentes módulos se ejecutan en la memoria para reducir la huella de la amenaza en los sistemas violados. Además, IceApple se mezcla con el entorno natural del sistema mediante la creación de archivos ensamblados que, a primera vista, parecen haber sido generados legítimamente por el servidor web IIS.
Módulos amenazantes
La funcionalidad de IceApple depende de los módulos implementados. Cada uno de los 18 módulos identificados está diseñado para realizar una tarea particular, incluida la recopilación de credenciales, la manipulación del sistema de archivos mediante la eliminación de archivos y directorios, y la exfiltración de datos confidenciales y valiosos. De hecho, hay un módulo para la exfiltración de un solo archivo y otro diferente capaz de cifrar, comprimir y cargar varios archivos a la vez. Los expertos en seguridad advierten que es probable que IceApple aún esté en desarrollo activo y que sus capacidades podrían expandirse aún más mediante la introducción de módulos adicionales.
