Un probabile attore di minacce sponsorizzato dallo Stato con sede in Cina ha distribuito un sofisticato framework di malware post-exploitation sui server Microsoft Exchange di organizzazioni del settore tecnologico, accademico e governativo in diverse regioni almeno dallo scorso autunno.
Secondo i ricercatori di CrowdStrike, l’obiettivo della campagna sembra essere la raccolta di informazioni ed è legato a una campagna mirata sponsorizzata dallo Stato. Il fornitore di sicurezza ha identificato il framework con il nome di “IceApple” e lo ha descritto in un rapporto di questa settimana come composto da 18 moduli separati con una serie di funzioni che includono la raccolta di credenziali, l’eliminazione di file e directory e l’esfiltrazione di dati.
L’analisi di CrowdStrike mostra che i moduli sono progettati per essere eseguiti solo in memoria per ridurre l’impronta del malware su un sistema infetto, una tattica che gli avversari spesso utilizzano in campagne di lunga durata. Il framework presenta anche diverse altre tecniche di rilevamento-evasione che suggeriscono che l’avversario ha una profonda conoscenza delle applicazioni Web di Internet Information Services (IIS). Ad esempio, CrowdStrike ha osservato che uno dei moduli sfrutta campi non documentati del software IIS che non sono destinati a essere utilizzati da sviluppatori terzi.
Nel corso delle indagini sulla minaccia, i ricercatori di CrowdStrike hanno riscontrato che gli avversari tornavano ripetutamente sui sistemi compromessi e utilizzavano IceApple per eseguire attività successive allo sfruttamento.
Param Singh, vicepresidente dei servizi di caccia alle minacce Falcon OverWatch di CrowdStrike, afferma che IceApple è diverso da altri toolkit di post-exploitation in quanto è in costante sviluppo anche se viene distribuito e utilizzato attivamente. “Sebbene sia stato osservato come IceApple venga distribuito su istanze di Microsoft Exchange Server, in realtà è in grado di funzionare su qualsiasi applicazione Web IIS“, afferma Singh.
Collegamento a Microsoft .NET
CrowdStrike ha scoperto IceApple durante lo sviluppo di rilevamenti di attività dannose che coinvolgono i cosiddetti caricamenti riflessivi di assembly .NET. Il MITRE definisce il caricamento di codice riflessivo come una tecnica che gli attori delle minacce utilizzano per nascondere payload dannosi. Comporta l’allocazione e l’esecuzione di payload direttamente nella memoria di un processo in esecuzione. Secondo il MITRE, i payload caricati in modo riflessivo possono includere file binari compilati, file anonimi o solo pezzi di eseguibili senza file. Il caricamento di codice a riflessione è simile all’iniezione di processo, tranne per il fatto che il codice viene caricato nella memoria di un processo piuttosto che in quella di un altro processo, ha osservato il MITRE.
“Gli assembly .NET costituiscono la pietra miliare del framework .NET di Microsoft“, afferma Singh. “Un assembly può funzionare sia come applicazione autonoma sotto forma di file EXE, sia come libreria da utilizzare in altre applicazioni come DLL“.
CrowdStrike ha scoperto IceApple alla fine del 2021, quando un meccanismo di rilevamento che stava sviluppando per i carichi di assembly .NET riflessivi si è attivato su un server Exchange presso un cliente. L’indagine dell’azienda sull’allarme ha evidenziato anomalie in diversi file assembly .NET, che a loro volta hanno portato alla scoperta del framework IceApple sul sistema.
Campagna attiva di cyberattacco
Il design modulare di IceApple ha permesso all’avversario di costruire ogni parte della funzionalità in un proprio assembly .NET e di caricare in modo riflessivo ogni funzione solo quando necessario. “Se non viene scoperta, questa tecnica può lasciare i difensori della sicurezza completamente ciechi di fronte a tali attacchi“, afferma Singh. “Ad esempio, i difensori vedranno un’applicazione legittima come un server Web che si connette a un IP sospetto, ma non avranno modo di sapere quale codice sta innescando la connessione“.
Singh afferma che CrowdStrike ha scoperto che IceApple utilizza un paio di tattiche uniche per eludere il rilevamento. Una di queste consiste nell’utilizzare campi non documentati in IIS. L’altra consiste nel mimetizzarsi nell’ambiente utilizzando nomi di file di assemblaggio che sembrano essere normali file temporanei di IIS. “A un’analisi più attenta, i nomi dei file non sono generati in modo casuale, come ci si aspetterebbe, e il modo in cui gli assembly vengono caricati non rientra nella norma per Microsoft Exchange e IIS“, spiega Singh.
Il framework IceApple è progettato per esfiltrare i dati in diversi modi. Ad esempio, uno dei moduli, noto come modulo File Exfiltrator, consente di rubare un singolo file dall’host di destinazione. Un altro modulo, chiamato multifile exfiltrator, consente di criptare, comprimere ed esfiltrare più file, secondo Singh.
“Questa campagna è attualmente attiva ed efficace“, avverte. “Ma al momento non si sa quante organizzazioni possano essere state colpite da questa campagna al di là di quelle in cui CrowdStrike ha visibilità e di quelle che potrebbero essere state colpite indirettamente attraverso la catena di approvvigionamento o altri metodi“.
