Το κακόβουλο λογισμικό IceApple στοχεύει διακομιστές MS Exchange

Οι ερευνητές ασφαλείας δημοσίευσαν μια λεπτομερή αναφορά για ένα νέο είδος κακόβουλου λογισμικού που ονομάζεται IceApple. Το IceApple περιγράφεται ως ένα πλαίσιο μετά την εκμετάλλευση που παρέχει στους φορείς απειλών παρατεταμένη πρόσβαση κάτω από το ραντάρ σε παραβιασμένα συστήματα.

Μια ομάδα με την εταιρεία infosec CrowdStrike εξέτασε την απειλή και πιστεύει ότι το κακόβουλο λογισμικό συνδέεται με έναν παράγοντα απειλής με συνδέσμους με την Κίνα, πιθανότατα και με κρατική χορηγία.

Το πλαίσιο IceApple είναι ένα εργαλείο που εδρεύει στη μνήμη που μπορεί επίσης να εκτελεστεί σε λογισμικό διακομιστή web των Υπηρεσιών Πληροφοριών Διαδικτύου (ISS). Το εργαλείο βρίσκεται στο ραντάρ των ερευνητών ασφαλείας από το 2021 και οι προηγούμενες επιθέσεις που παρατηρήθηκαν ήταν σύμφωνες με τους συνήθεις στόχους που επιλέγει η Κίνα για κατασκοπεία στον κυβερνοχώρο.

Το πλαίσιο είναι αρκετά μεγάλο και πολύπλοκο, και περιλαμβάνει τουλάχιστον 18 διαφορετικές ενότητες που προσφέρουν διαφορετικές λειτουργίες. Οι μονάδες που παρατηρούνται επίσης ενημερώνονται συνεχώς, πράγμα που σημαίνει ότι ολόκληρη η απειλή του IceApple βρίσκεται ακόμη σε ενεργό ανάπτυξη.

Το IceApple διαθέτει λειτουργικές μονάδες που επιτρέπουν την καταχώριση καταλόγου, την εγγραφή και τη διαγραφή αρχείων, την υποβολή αιτημάτων HTTP, την κλοπή διαπιστευτηρίων και την εξαγωγή αρχείων σε ελεγκτή απομακρυσμένων τοποθεσιών από τον παράγοντα απειλών.

Η εις βάθος ανάλυση έδειξε ότι το πλαίσιο IceApple αναπτύχθηκε από άτομα με βαθιά γνώση των κατάχρησης υποκείμενων συστημάτων, συμπεριλαμβανομένης της γνώσης της λειτουργικότητας του ISS που δεν τεκμηριώθηκε ποτέ επίσημα.

Οι ερευνητές σημείωσαν επίσης ότι οι επιτιθέμενοι που εκμεταλλεύονταν το πλαίσιο IceApple είχαν τη συνήθεια να επιστρέφουν στα παραβιασμένα συστήματα για να ελέγχουν για νέες εξελίξεις και να πραγματοποιούν περισσότερα δεδομένα συλλογής κάθε δύο εβδομάδες.