0
0
Um provável ator de ameaças patrocinado pelo Estado, com sede na China, vem implantando uma estrutura sofisticada de malware pós-exploração em servidores do Microsoft Exchange em organizações dos setores de tecnologia, acadêmicos e governamentais em várias regiões desde pelo menos o outono passado.
O objetivo da campanha parece ser a coleta de informações e está ligado a uma campanha patrocinada pelo Estado, de acordo com pesquisadores da CrowdStrike. O fornecedor de segurança está rastreando a estrutura como “IceApple” e descreveu-a em um relatório esta semana como composta por 18 módulos separados com uma gama de funções que incluem coleta de credenciais, exclusão de arquivos e diretórios e exfiltração de dados.
A análise do CrowdStrike mostra que os módulos foram projetados para funcionar apenas na memória para reduzir a pegada do malware em um sistema infectado — uma tática que os adversários geralmente empregam em campanhas de longa duração. A estrutura também possui várias outras técnicas de detecção e evasão que sugerem que o adversário tem profundo conhecimento de aplicações web do Internet Information Services (IIS). Por exemplo, o CrowdStrike observou um dos módulos que aproveitam campos não documentados no software IIS que não se destinam a ser usados por desenvolvedores de terceiros.
Ao longo de sua investigação sobre a ameaça, os pesquisadores do CrowdStrike viram evidências dos adversários retornando repetidamente a sistemas comprometidos e usando o IceApple para executar atividades pós-exploração.
Param Singh, vice-presidente dos serviços de caça a ameaças Falcon OverWatch da CrowdStrike, diz que o IceApple é diferente de outros kits de ferramentas pós-exploração, pois está em constante desenvolvimento, mesmo sendo implantado e usado ativamente. “Embora o IceApple tenha sido observado sendo implantado em instâncias do Microsoft Exchange Server, ele é realmente capaz de ser executado sob qualquer aplicativo IIS Web”, diz Singh.
Link Microsoft .NET
O CrowdStrike descobriu o IceApple enquanto desenvolveva detecções para atividades maliciosas envolvendo as chamadas cargas reflexivas de montagem .NET. O MITRE define o carregamento de código reflexivo como uma técnica que os atores de ameaças usam para ocultar cargas maliciosas. Envolve alocar e executar cargas diretamente na memória de um processo em execução. Cargas carregadas reflexivamente podem incluir binários cumpridos, arquivos anônimos ou apenas bits de executáveis sem arquivo, de acordo com o MITRE. O carregamento de código reflexivo é como a injeção de processo, exceto que o código é carregado na própria memória de um processo em vez da de outro processo, observou o MITRE.
“. As montagens NET formam a pedra angular da estrutura .NET da Microsoft”, diz Singh. “Um conjunto pode funcionar como um aplicativo autônomo na forma de um arquivo EXE ou como uma biblioteca para uso em outros aplicativos como um DLL.”
O CrowdStrike descobriu o IceApple no final de 2021, quando um mecanismo de detecção que estava desenvolvendo para cargas reflexivas de montagem .NET desencadeadas em um Servidor de Troca em um local de cliente. A investigação do alerta da empresa mostrou anomalias em vários arquivos de montagem .NET, o que, por sua vez, levou à descoberta da estrutura do IceApple no sistema.
Campanha de ciberataque ativo
O design modular do IceApple deu ao adversário uma maneira de construir cada peça de funcionalidade em seu próprio conjunto .NET e, em seguida, carregar reflexivamente cada função apenas conforme necessário. “Se não for pego, essa técnica pode deixar os defensores de segurança completamente cegos para esses ataques”, diz Singh. “Por exemplo, os defensores verão um aplicativo legítimo como um servidor Web conectando-se a um IP suspeito; no entanto, eles não têm meios de saber que código está desencadeando essa conexão.”
Singh diz que o CrowdStrike achou o IceApple usando algumas táticas únicas para evitar a detecção. Um deles é usar campos não documentados no IIS. O outro é misturar-se ao ambiente usando nomes de arquivos de montagem que parecem ser arquivos temporários IIS normais. “Em uma inspeção mais próxima, os nomes dos arquivos não são gerados aleatoriamente, como seria de esperar, e a maneira como os conjuntos são carregados fica fora do que é normal para o Microsoft Exchange e o IIS”, diz Singh.
A estrutura IceApple foi projetada para exfiltrar dados de várias maneiras. Por exemplo, um dos módulos, conhecido como módulo Exfiltrator de arquivos, permite que um único arquivo seja roubado do host alvo. Outro módulo, chamado exfiltrator multifile, permite que vários arquivos sejam criptografados, compactados e exfiltrados, de acordo com Singh.
“Esta campanha está ativa e eficaz no momento”, adverte. “Mas não se sabe no momento quantas organizações podem ter sido impactadas por essa campanha além de onde o CrowdStrike tem visibilidade e aquelas que podem ter sido indiretamente impactadas através da cadeia de suprimentos ou outros métodos.”
FONTE: DARK READING