IceAppleマルウェアはMSExchangeサーバーを標的にします
セキュリティ研究者は、IceAppleと呼ばれるマルウェアの新種に関する詳細なレポートを公開しました。 IceAppleは、悪用後のフレームワークとして説明されており、脅威の攻撃者がレーダーの下で侵害されたシステムに長時間アクセスできるようにします。
情報セキュリティ会社CrowdStrikeのチームが脅威を調査し、マルウェアが中国にリンクしている脅威アクターにリンクされていると考えています。
IceAppleフレームワークは、インターネットインフォメーションサービス(ISS)Webサーバーソフトウェアでも実行できるメモリ常駐ツールです。このツールは2021年以来セキュリティ研究者の注目を集めており、過去に観察された攻撃は、中国がサイバースパイのために選択する通常の標的と一致していました。
フレームワークはかなり大きく複雑で、異なる機能を提供する少なくとも18の異なるモジュールで構成されています。観察されたモジュールも絶えず更新されています。つまり、IceAppleの脅威全体がまだ活発に開発されています。
IceAppleには、ディレクトリの一覧表示、ファイルへの書き込みと削除、HTTPリクエストの作成、資格情報の盗難、および脅威アクターによるリモートロケーションコントローラーへのファイルの漏えいを可能にするモジュールがあります。
詳細な分析により、IceAppleフレームワークは、公式に文書化されたことのないISS機能の知識を含め、悪用された基盤システムについての深い知識を持つ人々によって開発されたことが示されました。
研究者はまた、IceAppleフレームワークを悪用する攻撃者は、侵害されたシステムに戻って新しい開発をチェックし、数週間ごとにより多くのデータ収集を行う習慣があることを指摘しました。