Estrutura exclusiva de ataque IceApple tem como alvo vários setores

Apelidada de IceApple , essa estrutura de Serviços de Informações da Internet (IIS) foi criada por um agente de ameaças que aparentemente possui conhecimento detalhado dela. 

A campanha

• Em maio, o IceApple inclui 18 módulos e está em desenvolvimento ativo e tem sido usado em vários ambientes corporativos.
• O malware foi descoberto em 2021 e tem como alvo vítimas nos setores acadêmico, governamental e de tecnologia.
• Ele usa uma estrutura somente na memória, indicando que o agente da ameaça visa manter uma pegada forense baixa nas vítimas.
• Sua campanha de longa duração se concentra na coleta de inteligência e indica que é uma missão patrocinada pelo estado, supostamente alinhada com as invasões patrocinadas pelo estado e do nexo da China.

Por que isso importa

• Embora as invasões da IceApple observadas até agora envolvessem o carregamento do malware em servidores Microsoft Exchange, ele é capaz de ser executado em qualquer aplicativo da Web IIS . Isso o torna uma forte ameaça .
• Os vários módulos que acompanham o malware permitem que ele liste e elimine diretórios e arquivos, roube credenciais, grave dados, exfiltre dados confidenciais e consulte o Active Directory.
• O principal motivo da IceApple é aumentar a visibilidade do alvo por parte de seu operador, obtendo acesso a credenciais e furtando informações confidenciais.

Detalhes do malware

• O design modular do malware permitiu que o agente da ameaça organizasse todas as funcionalidades em seu próprio conjunto .NET e carregasse as funções de forma reflexiva conforme necessário.
• O carregamento reflexivo de código é definido como uma técnica para ocultar cargas maliciosas, de acordo com o MITRE. Refere-se a atribuir e executar cargas diretamente na memória de qualquer processo em execução.
• Essas cargas úteis podem incluir binários compilados, executáveis ​​sem arquivo e arquivos anônimos.
• O carregamento reflexivo de código pode deixar as equipes de segurança completamente alheias a esses ataques. Embora eles possam notar um servidor da Web se conectando a um IP suspeito, eles não saberão qual código acionou a conexão.

A linha de fundo

IceApple é uma ameaça potente e emprega novas táticas para evitar a detecção. Além disso, ele pode roubar dados de várias maneiras. A campanha está atualmente ativa e parece ser extremamente eficaz. No momento, os pesquisadores não conseguiram enumerar as vítimas. Portanto, é imperativo que todos os aplicativos da Web sejam corrigidos regularmente para evitar que o IceApple comprometa sua rede.

Fonte: https://cyware.com/