Il malware IceApple prende di mira i server MS Exchange
I ricercatori di sicurezza hanno pubblicato un rapporto dettagliato su un nuovo ceppo di malware chiamato IceApple. IceApple è descritto come un framework post-sfruttamento che offre agli attori delle minacce un accesso prolungato sotto il radar ai sistemi compromessi.
Un team della società di infosec CrowdStrike ha esaminato la minaccia e ritiene che il malware sia collegato a un attore di minacce con collegamenti alla Cina, probabilmente anche sponsorizzato dallo stato.
Il framework IceApple è uno strumento residente in memoria che può essere eseguito anche sul software del server Web Internet Information Services (ISS). Lo strumento è nel radar dei ricercatori di sicurezza dal 2021 e gli attacchi passati osservati erano in linea con i soliti obiettivi che la Cina sceglie per lo spionaggio informatico.
Il framework è piuttosto ampio e complesso, comprende almeno 18 moduli diversi che offrono funzionalità diverse. Anche i moduli osservati vengono costantemente aggiornati, il che significa che l'intera minaccia IceApple è ancora in fase di sviluppo attivo.
IceApple dispone di moduli che consentono l'elenco delle directory, la scrittura e l'eliminazione di file, l'esecuzione di richieste HTTP, il furto di credenziali e l'esfiltrazione di file a controller di posizioni remote da parte dell'attore della minaccia.
L'analisi approfondita ha mostrato che il framework IceApple è stato sviluppato da persone con una profonda conoscenza dei sistemi sottostanti abusati, inclusa la conoscenza della funzionalità della ISS che non è mai stata ufficialmente documentata.
I ricercatori hanno anche notato che gli aggressori che sfruttano il framework IceApple avevano l'abitudine di tornare ai sistemi compromessi per verificare la presenza di nuovi sviluppi e condurre più raccolte di dati ogni due settimane.