Estrutura exclusiva de ataque IceApple tem como alvo vários setores
A equipe de caça a ameaças Falcon OverWatch da CrowdStrike expôs uma nova e altamente sofisticada estrutura de pós-exploração.
Apelidada de IceApple , essa estrutura de Serviços de Informações da Internet (IIS) foi criada por um agente de ameaças que aparentemente possui conhecimento detalhado dela.
A campanha
- Em maio, o IceApple inclui 18 módulos e está em desenvolvimento ativo e tem sido usado em vários ambientes corporativos.
- O malware foi descoberto em 2021 e tem como alvo vítimas nos setores acadêmico, governamental e de tecnologia.
- Ele usa uma estrutura somente na memória, indicando que o agente da ameaça visa manter uma pegada forense baixa nas vítimas.
- Sua campanha de longa duração se concentra na coleta de inteligência e indica que é uma missão patrocinada pelo estado, supostamente alinhada com as invasões patrocinadas pelo estado e do nexo da China.
Por que isso importa
- Embora as invasões da IceApple observadas até agora envolvessem o carregamento do malware em servidores Microsoft Exchange, ele é capaz de ser executado em qualquer aplicativo da Web IIS . Isso o torna uma forte ameaça .
- Os vários módulos que acompanham o malware permitem que ele liste e elimine diretórios e arquivos, roube credenciais, grave dados, exfiltre dados confidenciais e consulte o Active Directory.
- O principal motivo da IceApple é aumentar a visibilidade do alvo por parte de seu operador, obtendo acesso a credenciais e furtando informações confidenciais.
Detalhes do malware
- O design modular do malware permitiu que o agente da ameaça organizasse todas as funcionalidades em seu próprio conjunto .NET e carregasse as funções de forma reflexiva conforme necessário.
- O carregamento reflexivo de código é definido como uma técnica para ocultar cargas maliciosas, de acordo com o MITRE. Refere-se a atribuir e executar cargas diretamente na memória de qualquer processo em execução.
- Essas cargas úteis podem incluir binários compilados, executáveis sem arquivo e arquivos anônimos.
- O carregamento reflexivo de código pode deixar as equipes de segurança completamente alheias a esses ataques. Embora eles possam notar um servidor da Web se conectando a um IP suspeito, eles não saberão qual código acionou a conexão.
A linha de fundo
IceApple é uma ameaça potente e emprega novas táticas para evitar a detecção. Além disso, ele pode roubar dados de várias maneiras. A campanha está atualmente ativa e parece ser extremamente eficaz. No momento, os pesquisadores não conseguiram enumerar as vítimas. Portanto, é imperativo que todos os aplicativos da Web sejam corrigidos regularmente para evitar que o IceApple comprometa sua rede.
Fonte: https://cyware.com/
