binary code, magnifying lens, skull and crossbones

Pemburu ancaman mengekspos kerangka kerja serangan IceApple baru

Kerangka kerja pasca-eksploitasi baru yang memungkinkan aktivitas aktor jahatnya untuk bertahan pada goal mereka diekspos pada hari Rabu oleh pemburu ancaman Falcon OverWatch Crowdsrike. Dijuluki IceApple, kerangka kerja berbasis .NET telah diamati sejak akhir 2021 di banyak lingkungan korban di lokasi yang beragam secara geografis dengan goal yang mencakup sektor teknologi, akademik, dan pemerintah, menurut Laporan CrowdStrike.

Hingga saat ini, pemburu ancaman Falcon OverWatch telah menemukan kerangka kerja hanya pada contoh Microsoft Trade, tetapi mereka mengatakan itu mampu berjalan di bawah aplikasi internet Layanan Informasi Web (IIS) dan menyarankan organisasi untuk memastikan aplikasi internet mereka sepenuhnya ditambal untuk menghindari infeksi .

“Meskipun penggunaan .NET dan kode reflektif dalam serangan adalah hal biasa, yang tidak biasa adalah bagaimana pelaku ancaman ini mencoba menghindari deteksi,” Wakil Presiden Falcon OverWatch Param Singh mengatakan kepada CSO. “Mereka tidak menggunakan satu teknik penghindaran. Mereka menggunakan enam atau tujuh teknik penghindaran.”

IceApple menargetkan Microsoft API hard-coded

CrowdStrike menguraikan cara IceApple dirancang untuk menghindari deteksi. Misalnya, ia menggunakan kerangka kerja dalam memori saja, yang berkontribusi pada perangkat lunak yang mempertahankan jejak forensik rendah di lingkungan yang ditargetkan.

Pemburu ancaman juga menemukan salah satu modul kerangka kerja yang memanfaatkan API tidak berdokumen yang tidak dimaksudkan untuk digunakan oleh pengembang pihak ketiga. Singh menjelaskan bahwa Microsoft telah membuat dua set API—satu set yang mudah digunakan yang biasanya digunakan oleh pengembang pihak ketiga dan satu set tidak berdokumen untuk pengembang Microsoft. “Penulis malware dan pengembang biasa menggunakan API yang mudah digunakan,” katanya. “Apa yang dilakukan oleh pelaku ancaman IceApple adalah melewati API yang mudah digunakan dan langsung ke API Microsoft yang dikodekan secara keras. Pemotongan itu mengelak karena sebagian besar vendor keamanan hanya memanfaatkan API yang ramah pengguna.”

Teknik penghindaran lain dapat ditemukan dalam bagaimana file yang digunakan untuk merakit kerangka diberi nama. Pada pandangan pertama, mereka tampak seperti file-file sementara khas yang dihasilkan sebagai bagian dari proses mengubah file sumber ASPX menjadi .NET rakitan untuk memuat IIS. Pemeriksaan lebih dekat mengungkapkan bahwa nama file tidak dihasilkan secara acak seperti yang diharapkan, dan cara rakitan dimuat berada di luar apa yang regular untuk Microsoft Trade dan IIS.

Jejak kecil membuat IceApple sulit dideteksi

IceApple juga menggunakan teknik “chunking” untuk menjaga agar jejaknya tetap kecil untuk mengurangi risiko deteksi. “Karena kerangka menggunakan pendekatan modular, penyerang dapat memecah kode mereka menjadi potongan-potongan dan hanya menjatuhkan potongan-potongan yang relevan dengan lingkungan goal tertentu,” jelas Singh. “Kami menemukan 18 modul berbeda, tetapi beberapa goal mungkin hanya melihat tujuh, karena penyerang mungkin hanya tertarik pada ketekunan dan bukan eksfiltrasi.”

“Dengan memecah kerangka besar menjadi potongan-potongan kecil, mereka dapat menjaga ukuran file jauh lebih kecil,” kata Singh. “Sering kali ketika file diberi label sebagai file sementara dan hanya dalam kilobyte, Anda mungkin berpikir itu benar-benar hanya file sementara. Hanya ketika file sementara dalam megabita mereka menjadi curiga.”

Tujuan IceApple selaras dengan tujuan negara-bangsa

Laporan CrowdStrike juga mencatat bahwa tujuan jangka panjang IceApple yang ditujukan untuk pengumpulan intelijen sejalan dengan misi yang ditargetkan dan disponsori negara. “Kami telah melihat kombinasi serupa dari teknik penghindaran dari aktor ancaman negara-bangsa,” kata Singh. “Beberapa tingkat penghindaran digunakan oleh aktor ancaman yang ingin memastikan bahwa mereka tidak ditendang dari mesin. Mereka gigih dan menjalankan kampanye jangka panjang.”

Hak Cipta © 2022 IDG Communications, Inc.

Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts