Các nhà nghiên cứu đã trình bày chi tiết một khuôn khổ sau khai thác dựa trên .NET không có tài liệu trước đây có tên là IceApple đã được triển khai trên các phiên bản máy chủ Microsoft Exchange để tạo điều kiện thuận lợi cho việc do thám và lấy cắp dữ liệu.
CrowdStrike cho biết trong một báo cáo hôm thứ Tư: “Bị nghi ngờ là tác phẩm của kẻ thù liên minh giữa nhà nước, IceApple vẫn đang được phát triển tích cực, với 18 mô-đun được quan sát thấy được sử dụng trên một số môi trường doanh nghiệp, kể từ tháng 5 năm 2022,” CrowdStrike cho biết trong một báo cáo hôm thứ Tư.
Công ty an ninh mạng, đã phát hiện ra phần mềm độc hại tinh vi vào cuối năm 2021, đã ghi nhận sự hiện diện của nó trong nhiều mạng nạn nhân và ở các vị trí địa lý khác biệt. Các nạn nhân được nhắm mục tiêu trải dài trong nhiều lĩnh vực, bao gồm các tổ chức công nghệ, học thuật và chính phủ.
Một bộ công cụ sau khai thác, như tên của nó, không được sử dụng để cung cấp quyền truy cập ban đầu, mà được sử dụng để thực hiện các cuộc tấn công tiếp theo sau khi đã xâm nhập các máy chủ được đề cập.
IceApple đáng chú ý vì nó là một khung trong bộ nhớ, cho thấy nỗ lực của một phần tác nhân đe dọa để duy trì dấu vết pháp y thấp và tránh bị phát hiện, do đó, mang tất cả các dấu hiệu của một hoạt động thu thập thông tin tình báo dài hạn Sứ mệnh.
Mặc dù các cuộc xâm nhập được quan sát cho đến nay có liên quan đến phần mềm độc hại được tải trên Máy chủ Microsoft Exchange, nhưng IceApple có khả năng chạy trong bất kỳ ứng dụng web Internet Information Services (IIS) nào, khiến nó trở thành một mối đe dọa tiềm tàng.
Các mô-đun khác nhau đi kèm với khung trang bị phần mềm độc hại để liệt kê và xóa các tệp và thư mục, ghi dữ liệu, lấy cắp thông tin đăng nhập, truy vấn Active Directory và xuất dữ liệu nhạy cảm. Xây dựng dấu thời gian trên các thành phần này bắt đầu từ tháng 5 năm 2021.
Các nhà nghiên cứu kết luận: “Về cốt lõi, IceApple là một khung hậu khai thác tập trung vào việc tăng khả năng hiển thị của đối thủ về mục tiêu thông qua việc thu thập thông tin xác thực và lọc dữ liệu”, các nhà nghiên cứu kết luận.
“IceApple đã được phát triển bởi một đối thủ với kiến thức chi tiết về hoạt động bên trong của IIS. Đảm bảo tất cả các ứng dụng web được vá thường xuyên và đầy đủ là rất quan trọng để ngăn IceApple kết thúc trong môi trường của bạn.”
.
