IceApple Malware er rettet mod MS Exchange-servere

Sikkerhedsforskere har offentliggjort en detaljeret rapport om en ny stamme af malware kaldet IceApple. IceApple beskrives som en post-udnyttelsesramme, der giver trusselsaktører længerevarende adgang under radaren til kompromitterede systemer.

Et team med infosec-firmaet CrowdStrike undersøgte truslen og mener, at malware er forbundet med en trusselaktør med links til Kina, sandsynligvis også en, der er statssponsoreret.

IceApple frameworket er et hukommelsesbaseret værktøj, der også kan køres på Internet Information Services (ISS) webserversoftware. Værktøjet har været på radaren af sikkerhedsforskere siden 2021, og tidligere observerede angreb var på linje med de sædvanlige mål, som Kina vælger for cyberspionage.

Rammen er ret stor og kompleks og omfatter mindst 18 forskellige moduler med forskellig funktionalitet. De observerede moduler bliver også konstant opdateret, hvilket betyder, at hele IceApple-truslen stadig er i aktiv udvikling.

IceApple har moduler, der giver mulighed for katalogliste, skrivning til og sletning af filer, fremsættelse af HTTP-anmodninger, tyveri af legitimationsoplysninger og fileksfiltrering til fjernplaceringscontroller af trusselsaktøren.

Den dybtgående analyse viste, at IceApple-rammeværket blev udviklet af personer med dybt kendskab til de misbrugte underliggende systemer, herunder viden om ISS-funktionalitet, som aldrig blev officielt dokumenteret.

Forskere bemærkede også, at angribere, der udnyttede IceApple-rammerne, havde for vane at vende tilbage til de kompromitterede systemer for at tjekke for nye udviklinger og foretage mere dataindsamling hver par uger.