23 de novembro de 2024

Estrutura exclusiva de ataque IceApple tem como alvo vários setores

16 de maio de 2022

A equipe de caça a ameaças Falcon OverWatch da CrowdStrike expôs uma nova e altamente sofisticada estrutura de pós-exploração.

Apelidada de IceApple , essa estrutura de Serviços de Informações da Internet (IIS) foi criada por um agente de ameaças que aparentemente possui conhecimento detalhado dela. 

A campanha

  • Em maio, o IceApple inclui 18 módulos e está em desenvolvimento ativo e tem sido usado em vários ambientes corporativos. 
  • O malware foi descoberto em 2021 e tem como alvo vítimas nos setores acadêmico, governamental e de tecnologia. 
  • Ele usa uma estrutura somente na memória, indicando que o agente da ameaça visa manter uma pegada forense baixa nas vítimas. 
  • Sua campanha de longa duração se concentra na coleta de inteligência e indica que é uma missão patrocinada pelo estado, supostamente alinhada com as invasões patrocinadas pelo estado e do nexo da China. 

Por que isso importa

  • Embora as invasões da IceApple observadas até agora envolvessem o carregamento do malware em servidores Microsoft Exchange, ele é capaz de ser executado em qualquer aplicativo da Web IIS . Isso o torna uma forte ameaça .
  • Os vários módulos que acompanham o malware permitem que ele liste e elimine diretórios e arquivos, roube credenciais, grave dados, exfiltre dados confidenciais e consulte o Active Directory. 
  • O principal motivo da IceApple é aumentar a visibilidade do alvo por parte de seu operador, obtendo acesso a credenciais e furtando informações confidenciais. 

Detalhes do malware

  • O design modular do malware permitiu que o agente da ameaça organizasse todas as funcionalidades em seu próprio conjunto .NET e carregasse as funções de forma reflexiva conforme necessário. 
  • O carregamento reflexivo de código é definido como uma técnica para ocultar cargas maliciosas, de acordo com o MITRE. Refere-se a atribuir e executar cargas diretamente na memória de qualquer processo em execução. 
  • Essas cargas úteis podem incluir binários compilados, executáveis ​​sem arquivo e arquivos anônimos. 
  • O carregamento reflexivo de código pode deixar as equipes de segurança completamente alheias a esses ataques. Embora eles possam notar um servidor da Web se conectando a um IP suspeito, eles não saberão qual código acionou a conexão. 

A linha de fundo

IceApple é uma ameaça potente e emprega novas táticas para evitar a detecção. Além disso, ele pode roubar dados de várias maneiras. A campanha está atualmente ativa e parece ser extremamente eficaz. No momento, os pesquisadores não conseguiram enumerar as vítimas. Portanto, é imperativo que todos os aplicativos da Web sejam corrigidos regularmente para evitar que o IceApple comprometa sua rede.

Fonte: https://cyware.com/

Matérias Relacionadas

CyberVolk: A Ascensão de uma Nova Ameaça, do Hacktivismo ao Ransomware

10 de outubro de 2024

Sabia como manter seu parque windows atualizado com custo ZERO

5 de outubro de 2024

Saiba mais sobre hackers de elite da china

5 de outubro de 2024

Veja mais..

Segurança do Grafana: Correção Crítica para a Vulnerabilidade CVE-2024-9264

24 de outubro de 2024

Fortinet Confirma Ataque Zero-Day Focado em Sistemas FortiManager

24 de outubro de 2024

Falsos erros de conferência no Google Meet distribuem malware para roubo de informações

21 de outubro de 2024

Criminosos cibernéticos desconhecidos exploram falha no Roundcube Webmail em ataque de phishing

21 de outubro de 2024

Pesquisadores Chineses Quebram Criptografia RSA com Computação Quântica

17 de outubro de 2024