Des chercheurs ont découvert une malware nommé IceApple au framework particulièrement sophistiqué. Utilisé par des cybercriminels soutenus par un Etat, il a été trouvé sur des instances Exchange de Microsoft et visait plusieurs secteurs d’activité.
Dans leur analyse des dernières menaces, Falcon OverWatch, branche de Threat Hunting de Crowdstrike, a mis la main sur un malware sophistiqué et persistant. Baptisé IceApple, il est basé sur .NET a été observé depuis fin 2021 dans les environnements de multiples victimes localisées dans plusieurs lieux géographiques. Selon le rapport, les pirates visent les secteurs technologique, universitaire et gouvernemental. Pour l’instant, le malware n’a été trouvé que sur des instances Microsoft Exchange, mais les experts de Falcon OverWatch pensent qu’il est capable de fonctionner sous n’importe quelle service Web.
C’est pourquoi, ils recommandent aux entreprises de s’assurer que leurs applications web sont entièrement corrigées pour éviter l’infection. « Si l’usage de .NET est courant dans les attaques, la manière dont ces cybercriminels essaient d’échapper à la détection est inhabituelle », a expliqué Param Singh, vice-président de Falcon OverWatch. « En effet, ces acteurs ne comptent pas sur une seule technique d’évasion, mais sur six ou sept », a-t-il ajouté.
Les API Microsoft ciblées
CrowdStrike a fourni plus de détails sur les méthodes de IceApple pour éviter la détection. Par exemple, il fonctionne uniquement en mémoire, ce qui permet au logiciel de conserver une faible empreinte post-mortem dans l’environnement ciblé. Les analystes ont également découvert que l’un des modules du framework du malware utilisait des API non documentées et non destinées à être utilisées par des développeurs tiers. Param Singh explique que Microsoft a créé deux types d’API : un ensemble généralement utilisé par les développeurs tiers et un ensemble non documenté destiné aux développeurs de l’éditeur.
« Les auteurs de logiciels malveillants et les développeurs classiques utilisent des API du premier ensemble », a-t-il encore expliqué. « Par contre, les personnes derrière IceApple contournent ces jeux d’API et accèdent directement aux API Microsoft codées en dur. Ce contournement leur confère des capacités d’évasion, car la plupart des fournisseurs de sécurité n’exploitent que le premier ensemble d’API », a-t-il ajouté. Une autre technique de contournement se situe dans le mode de nommage des fichiers utilisés pour assembler le framework. À première vue, il s’agit de fichiers temporaires typiques générés dans le cadre du processus de conversion des fichiers source ASPX en assemblages .NET à charger par IIS. Or, un examen plus approfondi révèle que les noms de fichiers ne sont pas générés de manière aléatoire comme on pourrait s’y attendre, et que la façon dont les assemblages sont chargés ne correspond pas à un fonctionnement normal de Microsoft Exchange et de l’Internet Information Services IIS.
Une faible empreinte qui complique la détection
IceApple utilise également des techniques de « chunking » – ou « tronçonnage » – pour réduire son empreinte pour minimiser le risque de détection. « Étant donné que le framework fonctionne selon une approche modulaire, les attaquants peuvent décomposer leur code en morceaux et ne déposer que les parties pertinentes pour un environnement cible particulier », a aussi expliqué le vice-président de Falcon OverWatch. « Nous avons trouvé 18 modules différents, mais certaines cibles peuvent n’en voir que sept, car l’attaquant peut être intéressé uniquement par la persistance et non par l’exfiltration », a-t-il ajouté.
« En décomposant le malware en petits morceaux, ils parviennent à réduire notablement la taille des fichiers », a-t-il poursuivi. « Bien souvent, quand un fichier est étiqueté comme fichier temporaire et qu’il ne compte que quelques kilo-octets, on peut penser qu’il s’agit d’un fichier temporaire. Généralement, les fichiers temporaires deviennent suspects quand leur taille atteint le mégaoctet ».
Des objectifs alignés sur ceux d’un État
Le rapport de CrowdStrike fait également remarquer que les objectifs de persistance d’IceApple pour collecter des renseignements indiquent que leur mission est dirigée et parrainée par un État. « D’autres acteurs de la menace affiliés à des États-nations ont aussi recours ce genre de techniques d’évasion », a expliqué M. Singh. « Ces acteurs de la menace exploitent de multiples niveaux d’évasion pour être sûrs de ne pas être expulsés de la machine ciblée. Ils mènent une campagne à long terme et leur objectif est de s’installer durablement dans l’environnement ciblé ».