IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

فریمورک حمله منحصر بفرد بدافزار IceApple

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir unique framework of IceApple 1
تیم شکار تهدیدات سایبری CrowdStrike Falcon OverWatch یک فریمورک جدید و بسیار پیچیده خدمات اطلاعات اینترنتی (IIS) پس از بهره‌برداری را کشف کرده است که CrowdStrike از آن به عنوان IceApple یاد می‌کند. مشاهدات OverWatch که در این مقاله به تفصیل بررسی شده، نشان می‌دهد که IceApple توسط یک دشمن با دانش دقیق از فعالیت‌های داخلی IIS و با اطلاعات دقیق توسعه یافته است.


takian.ir unique framework of IceApple 2
جزییات کمپین
از ماه می‌میلادی سال جاری، IceApple که شامل ۱۸ ماژول می‌باشد، در حال توسعه فعال است و در چندین محیط سازمانی استفاده شده است.

این بدافزار در سال ۲۰۲۱ کشف شد و قربانیان را در بخش‌های دانشگاهی، دولتی و فناوری هدف قرار داده است.

از یک فریمورک in-memory-only استفاده می‌کند، که نشان می‌دهد عامل تهدید قصد دارد ردپای قابل ردیابی بسیار محدودی را روی سیستم قربانیان باقی بگذارد.

این کمپین طولانی‌مدت، بر جمع‌آوری اطلاعات متمرکز است و نشان می‌دهد که یک مأموریت تحت حمایت دولت است و ظاهراً با دخالت و پشتیبانی‌های دولت چین همسو می‌باشد.

دلیل اهمیت این کمپین
در حالی که نفوذ‌های مشاهده شده IceApple، تا کنون شامل بارگیری بدافزار در سرور‌های Microsoft Exchange بود، اما می‌تواند روی هر برنامه وب IIS اجرا شود. که این امر، آن بدافزار را به یک تهدید بسیار قوی تبدیل می‌کند.

ماژول‌های مختلفی که همراه با بدافزار ارائه می‌شوند، آن را قادر می‌سازند تا فهرست‌بندی و حذف دایرکتوری‌ها و فایل‌ها، سرقت اطلاعات کاربری، نوشتن داده‌ها، استخراج داده‌های حساس و جستجو در Active Directory را انجام دهد.

انگیزه اصلی IceApple افزایش دید اپراتور از هدف با دستیابی به اعتبارنامه‌ها و سرقت اطلاعات محرمانه است.

جزئیات بدافزار
طراحی ماژولار بدافزار به عامل تهدید این امکان را می‌دهد تا همه عملکرد‌ها را در مجموعه.NET خود مرتب کند و فانکشن‌ها را در صورت نیاز بارگذاری کند.

طبق MITRE، بارگیری کد رفلکتیو به عنوان تکنیکی برای پنهان کردن payload‌های مخرب تعریف می‌شود. که این مسأله، به تخصیص و اجرای paylaod‌ها به طور مستقیم در حافظه هر فرآیند در حال اجرا اشاره دارد.

چنین payload‌هایی می‌توانند شامل باینری‌های کامپایل شده، فایل‌های اجرایی بدون فایل و فایل‌های ناشناس باشند.

بارگذاری کد رفلکتیو می‌تواند تیم‌های امنیتی را کاملاً از این حملات غافل کند. در حالی که آن‌ها ممکن است متوجه اتصال یک سرور وب به یک IP مشکوک شوند، نمی‌دانند کدام کد باعث اتصال شده است.

کلام پایانی
بدافزار IceApple یک تهدید قوی است و از تاکتیک‌های جدید برای فرار از شناسایی استفاده می‌کند. علاوه بر این، می‌تواند داده‌ها را به روش‌های مختلفی سرقت کند. این کمپین در حال حاضر فعال است و به نظر می‌رسد بسیار مؤثر واقع شده است. در حال حاضر محققان موفق به شمارش قربانیان نشده‌اند. بنابراین، ضروری است که همه برنامه‌های وب به طور منظم پچ شوند تا از به خطر انداختن شبکه شما توسط IceApple جلوگیری شود.

برچسب ها: کد رفلکتیو, Reflective Code, Active Directory, in-memory-only, OverWatch, IceApple, CrowdStrike Falcon OverWatch, IIS, فریم‌ورک‌, Framework, چین, Exchange IIS worker, campaign, Module, ماژول, Payload, اعتبارنامه, Microsoft Exchange, cybersecurity, China, malware, اکانتینگ iis, CrowdStrike, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

چاپ ایمیل