Az IceApple Malware az MS Exchange szervereket célozza meg
Biztonsági kutatók részletes jelentést tettek közzé az IceApple nevű rosszindulatú program új törzséről. Az IceApple leírása szerint egy kizsákmányolás utáni keretrendszer, amely a fenyegetés szereplőinek hosszan tartó radar alatti hozzáférést biztosít a kompromittált rendszerekhez.
A CrowdStrike infosec cég csapata megvizsgálta a fenyegetést, és úgy véli, hogy a rosszindulatú program egy olyan fenyegetést okozó szereplőhöz kapcsolódik, aki Kínához kapcsolódik, valószínűleg szintén államilag támogatott.
Az IceApple keretrendszer egy memória-rezidens eszköz, amely az Internet Information Services (ISS) webszerver szoftverén is futtatható. Az eszköz 2021 óta van a biztonsági kutatók radarján, és a korábbi megfigyelt támadások összhangban voltak azzal a szokásos célponttal, amelyet Kína kiberkémkedésre választ.
A keretrendszer meglehetősen nagy és összetett, és legalább 18 különböző modulból áll, amelyek különböző funkcionalitást kínálnak. A megfigyelt modulok is folyamatosan frissülnek, vagyis a teljes IceApple fenyegetés még aktív fejlesztés alatt áll.
Az IceApple olyan modulokkal rendelkezik, amelyek lehetővé teszik a címtárlistázást, a fájlok írását és törlését, a HTTP-kéréseket, a hitelesítő adatok ellopását és a fájlok kiszűrését a távoli helyvezérlőre a fenyegetettség szereplője által.
A mélyreható elemzés kimutatta, hogy az IceApple keretrendszert olyan emberek fejlesztették ki, akik mélyen ismerik a visszaélt mögöttes rendszereket, beleértve az ISS funkcióit, amelyeket hivatalosan soha nem dokumentáltak.
A kutatók azt is megjegyezték, hogy az IceApple keretrendszert kihasználó támadóknak megvolt a szokásuk, hogy visszatérjenek a feltört rendszerekhez, hogy új fejlesztéseket keressenek, és néhány hetente több adatgyűjtést végezzenek.