IceApple-Malware zielt auf MS Exchange-Server ab

Sicherheitsforscher haben einen ausführlichen Bericht über einen neuen Malware-Stamm namens IceApple veröffentlicht. IceApple wird als Post-Exploitation-Framework beschrieben, das Bedrohungsakteuren einen längeren unauffälligen Zugriff auf kompromittierte Systeme ermöglicht.

Ein Team der Infosec-Firma CrowdStrike hat die Bedrohung untersucht und glaubt, dass die Malware mit einem Bedrohungsakteur mit Verbindungen nach China in Verbindung steht, der wahrscheinlich ebenfalls staatlich gefördert wird.

Das IceApple-Framework ist ein speicherresidentes Tool, das auch auf Internet Information Services (ISS)-Webserver-Software ausgeführt werden kann. Das Tool ist seit 2021 auf dem Radar von Sicherheitsforschern, und früher beobachtete Angriffe entsprachen den üblichen Zielen, die China für Cyberspionage auswählt.

Das Framework ist ziemlich groß und komplex und umfasst mindestens 18 verschiedene Module, die unterschiedliche Funktionen bieten. Die beobachteten Module werden zudem ständig aktualisiert, sodass sich die gesamte IceApple-Bedrohung noch in aktiver Entwicklung befindet.

IceApple verfügt über Module, die das Auflisten von Verzeichnissen, das Schreiben und Löschen von Dateien, das Senden von HTTP-Anforderungen, den Diebstahl von Anmeldeinformationen und das Exfiltrieren von Dateien an entfernte Standorte ermöglichen, die vom Bedrohungsakteur kontrolliert werden.

Die eingehende Analyse zeigte, dass das IceApple-Framework von Personen mit fundiertem Wissen über die missbrauchten zugrunde liegenden Systeme entwickelt wurde, einschließlich des Wissens über die ISS-Funktionalität, das nie offiziell dokumentiert wurde.

Die Forscher stellten auch fest, dass Angreifer, die das IceApple-Framework ausnutzen, die Angewohnheit hatten, zu den kompromittierten Systemen zurückzukehren, um nach neuen Entwicklungen zu suchen und alle paar Wochen mehr Daten zu sammeln.