IceApple Malware richt zich op MS Exchange-servers

Beveiligingsonderzoekers hebben een gedetailleerd rapport gepubliceerd over een nieuwe vorm van malware genaamd IceApple. IceApple wordt beschreven als een post-exploitatieraamwerk dat bedreigingsactoren langdurig onder de radar toegang geeft tot gecompromitteerde systemen.

Een team van infosec-bedrijf CrowdStrike heeft de dreiging onderzocht en is van mening dat de malware is gekoppeld aan een dreigingsactor met links naar China, waarschijnlijk ook een door de staat gesponsorde.

Het IceApple-framework is een geheugenresidente tool die ook kan worden uitgevoerd op Internet Information Services (ISS)-webserversoftware. De tool staat sinds 2021 op de radar van beveiligingsonderzoekers en eerdere waargenomen aanvallen waren in lijn met de gebruikelijke doelen die China kiest voor cyberspionage.

Het raamwerk is vrij groot en complex en omvat ten minste 18 verschillende modules met verschillende functionaliteit. De waargenomen modules worden ook voortdurend bijgewerkt, wat betekent dat de hele IceApple-dreiging nog in actieve ontwikkeling is.

IceApple heeft modules waarmee directorylijsten, het schrijven naar en verwijderen van bestanden, het doen van HTTP-verzoeken, diefstal van inloggegevens en bestandsexfiltratie naar externe locaties door de dreigingsactor kunnen worden beheerd.

Uit de diepgaande analyse bleek dat het IceApple-framework is ontwikkeld door mensen met diepgaande kennis van de misbruikte onderliggende systemen, inclusief de kennis van ISS-functionaliteit die nooit officieel is gedocumenteerd.

Onderzoekers merkten ook op dat aanvallers die misbruik maakten van het IceApple-framework de gewoonte hadden om terug te keren naar de gecompromitteerde systemen om te controleren op nieuwe ontwikkelingen en om de paar weken meer gegevens te verzamelen.