Muhtemelen Çin merkezli, devlet destekli bir tehdit aktörü, en azından geçen sonbahardan bu yana birden fazla bölgedeki teknoloji, akademik ve devlet sektörlerindeki kuruluşlarda Microsoft Exchange sunucularına karmaşık bir sömürü sonrası kötü amaçlı yazılım çerçevesi uyguluyor.
CrowdStrike araştırmacılarına göre, kampanyanın amacı istihbarat toplamak gibi görünüyor ve hedeflenen devlet destekli bir kampanyaya bağlı. Güvenlik sağlayıcısı, çerçeveyi “IceApple” olarak izliyor ve bu hafta bir raporda, kimlik bilgisi toplama, dosya ve dizin silme ve veri hırsızlığı gibi çeşitli işlevlere sahip 18 ayrı modülden oluşan bir raporda tanımladı.
CrowdStrike’ın analizi, modüllerin, kötü amaçlı yazılımın virüslü bir sistemdeki ayak izini azaltmak için yalnızca bellekte çalışacak şekilde tasarlandığını gösteriyor – düşmanların genellikle uzun süreli kampanyalarda kullandığı bir taktik. Çerçeve ayrıca, düşmanın İnternet Bilgi Servisleri (IIS) Web uygulamaları hakkında derin bilgiye sahip olduğunu gösteren birkaç başka tespit-kaçınma tekniğine de sahiptir. Örneğin, CrowdStrike, IIS yazılımında üçüncü taraf geliştiriciler tarafından kullanılması amaçlanmayan belgelenmemiş alanlardan yararlanan modüllerden birini gözlemledi.
Tehdit araştırmaları sırasında CrowdStrike araştırmacıları, düşmanların sürekli olarak güvenliği ihlal edilmiş sistemlere geri döndüklerine ve sömürü sonrası faaliyetleri yürütmek için IceApple’ı kullandıklarına dair kanıtlar gördüler.
CrowdStrike’ın Falcon OverWatch tehdit avlama hizmetlerinden sorumlu başkan yardımcısı Param Singh, IceApple’ın diğer sömürü sonrası araç setlerinden farklı olduğunu, çünkü aktif olarak konuşlandırılıyor ve kullanılıyor olsa bile sürekli geliştirme aşamasında olduğunu söylüyor. Singh, “IceApple’ın Microsoft Exchange Server örneklerinde konuşlandırıldığı gözlemlenmiş olsa da, aslında herhangi bir IIS Web uygulaması altında çalışabilir” diyor.
Microsoft .NET Bağlantısı
CrowdStrike, IceApple’ı, yansıtıcı .NET derleme yüklerini içeren kötü amaçlı etkinlikler için algılamalar geliştirirken keşfetti. MITRE tanımlar yansıtıcı kod yükleme
tehdit aktörlerinin kötü niyetli yükleri gizlemek için kullandıkları bir tekniktir. Yüklerin doğrudan çalışan bir işlemin belleğinde tahsis edilmesini ve yürütülmesini içerir. MITRE’ye göre yansıtıcı olarak yüklenen yükler, uyumlu ikili dosyaları, anonim dosyaları veya yalnızca dosyasız yürütülebilir dosyaları içerebilir. MITRE, yansıtıcı kod yüklemenin, kodun başka bir işlemin belleğinden ziyade bir işlemin kendi belleğine yüklenmesi dışında işlem enjeksiyonu gibidir.
“.NET derlemeleri, Microsoft’un .NET çerçevesinin temel taşını oluşturur,” diyor Singh. “Bir derleme, bir EXE dosyası biçiminde bağımsız bir uygulama veya DLL olarak diğer uygulamalarda kullanım için bir kitaplık olarak işlev görebilir.”
CrowdStrike, IceApple’ı 2021’in sonlarında, bir müşteri konumundaki bir Exchange Sunucusunda tetiklenen yansıtıcı .NET derleme yükleri için geliştirdiği bir algılama mekanizmasıyla keşfetti. Şirketin uyarıyı incelemesi, birkaç .NET derleme dosyasında anormallikler gösterdi ve bu da sistemdeki IceApple çerçevesinin keşfedilmesine yol açtı.
Aktif Siber Saldırı Kampanyası
IceApple’ın modüler tasarımı, düşmana, her bir işlevsellik parçasını kendi .NET derlemesinde oluşturma ve ardından her işlevi yansıtıcı bir şekilde yalnızca gerektiği kadar yüklemesi için bir yol sağladı. Singh, “Yakalanmazsa, bu teknik güvenlik savunucularını bu tür saldırılara karşı tamamen kör bırakabilir” diyor. “Örneğin, savunucular, şüpheli bir IP’ye bağlanan bir Web sunucusu gibi meşru bir uygulama görecekler; ancak, bu bağlantıyı hangi kodun tetiklediğini bilmenin hiçbir yolu yok.”
Singh, CrowdStrike’ın IceApple’ın tespit edilmekten kaçınmak için birkaç benzersiz taktik kullandığını bulduğunu söylüyor. Bunlardan biri, IIS’de belgesiz alanları kullanmaktır. Diğeri, normal IIS geçici dosyaları gibi görünen derleme dosya adlarını kullanarak ortama uyum sağlamaktır. Singh, “Daha yakından incelendiğinde, beklendiği gibi dosya adları rastgele oluşturulmaz ve derlemelerin yüklenme şekli Microsoft Exchange ve IIS için normal olanın dışında kalıyor” diyor.
IceApple çerçevesi, verileri çeşitli şekillerde sızdırmak için tasarlanmıştır. Örneğin, Dosya Exfiltrator modülü olarak bilinen modüllerden biri, hedef ana bilgisayardan tek bir dosyanın çalınmasına izin verir. Singh’e göre, çoklu dosya exfiltrator adı verilen başka bir modül, birden fazla dosyanın şifrelenmesine, sıkıştırılmasına ve çıkarılmasına izin veriyor.
“Bu kampanya şu anda aktif ve etkili” diye uyarıyor. Ancak şu anda CrowdStrike’ın görünürlüğünün olduğu ve tedarik zinciri veya diğer yöntemlerle dolaylı olarak etkilenmiş olabileceklerin ötesinde bu kampanyadan kaç kuruluşun etkilenmiş olabileceği bilinmiyor.”