El malware IceApple se dirige a los servidores MS Exchange
Los investigadores de seguridad han publicado un informe detallado sobre una nueva variedad de malware denominada IceApple. IceApple se describe como un marco posterior a la explotación que brinda a los actores de amenazas un acceso oculto prolongado a los sistemas comprometidos.
Un equipo de la firma de seguridad de la información CrowdStrike examinó la amenaza y cree que el malware está vinculado a un actor de amenazas con vínculos con China, probablemente uno que también esté patrocinado por el estado.
El marco IceApple es una herramienta residente en la memoria que también se puede ejecutar en el software de servidor web de Internet Information Services (ISS). La herramienta ha estado en el radar de los investigadores de seguridad desde 2021, y los ataques observados en el pasado coincidieron con los objetivos habituales que China elige para el espionaje cibernético.
El marco es bastante grande y complejo, comprende al menos 18 módulos diferentes que ofrecen diferentes funcionalidades. Los módulos observados también se actualizan constantemente, lo que significa que toda la amenaza IceApple todavía está en desarrollo activo.
IceApple tiene módulos que permiten la lista de directorios, la escritura y eliminación de archivos, la realización de solicitudes HTTP, el robo de credenciales y la exfiltración de archivos a ubicaciones remotas controladas por el actor de amenazas.
El análisis en profundidad mostró que el marco de IceApple fue desarrollado por personas con un profundo conocimiento de los sistemas subyacentes abusados, incluido el conocimiento de la funcionalidad de la ISS que nunca se documentó oficialmente.
Los investigadores también notaron que los atacantes que explotaban el marco IceApple tenían la costumbre de regresar a los sistemas comprometidos para verificar nuevos desarrollos y realizar más recolección de datos cada dos semanas.
