„IceApple“ kenkėjiška programa skirta MS Exchange serveriams

Saugumo tyrinėtojai paskelbė išsamią ataskaitą apie naują kenkėjiškų programų atmainą, pavadintą „IceApple“. „IceApple“ apibūdinama kaip sistema po išnaudojimo, suteikianti grėsmės subjektams ilgalaikę prieigą prie pažeistų sistemų.

Infosec įmonės „CrowdStrike“ komanda ištyrė grėsmę ir mano, kad kenkėjiška programa yra susijusi su grėsmės veikėju, turinčiu sąsajų su Kinija, kuri greičiausiai taip pat yra valstybės remiama.

„IceApple“ sistema yra atminties nuolatinis įrankis, kurį taip pat galima paleisti naudojant „Internet Information Services“ (ISS) žiniatinklio serverio programinę įrangą. Įrankis saugos tyrinėtojų radaras buvo nuo 2021 m., o anksčiau pastebėtos atakos atitiko įprastus taikinius, kuriuos Kinija renkasi kibernetiniam šnipinėjimui.

Sistema yra gana didelė ir sudėtinga, ją sudaro mažiausiai 18 skirtingų modulių, siūlančių skirtingas funkcijas. Stebimi moduliai taip pat nuolat atnaujinami, o tai reiškia, kad visa „IceApple“ grėsmė vis dar aktyviai vystoma.

„IceApple“ turi modulius, leidžiančius grėsmės veikėjui sudaryti katalogų sąrašą, rašyti į failus ir juos ištrinti, pateikti HTTP užklausas, pavogti kredencialus ir išfiltruoti failus į nuotolinių vietų valdiklį.

Išsami analizė parodė, kad „IceApple“ sistemą sukūrė žmonės, gerai išmanantys piktnaudžiavimo pagrindines sistemas, įskaitant žinias apie ISS funkcijas, kurios niekada nebuvo oficialiai dokumentuotos.

Tyrėjai taip pat pažymėjo, kad „IceApple“ sistemą išnaudojantys užpuolikai turėjo įprotį grįžti į pažeistas sistemas, kad patikrintų, ar nėra naujovių, ir kas porą savaičių renka daugiau duomenų.