Złośliwe oprogramowanie IceApple atakuje serwery MS Exchange

Badacze bezpieczeństwa opublikowali szczegółowy raport na temat nowego szczepu złośliwego oprogramowania o nazwie IceApple. IceApple jest opisywany jako struktura post-eksploatacyjna, która zapewnia cyberprzestępcom długotrwały dostęp do zaatakowanych systemów.

Zespół z firmą infosec CrowdStrike zbadał zagrożenie i jest przekonany, że złośliwe oprogramowanie jest powiązane z cyberprzestępcą mającym powiązania z Chinami, prawdopodobnie również sponsorowanym przez państwo.

Platforma IceApple to narzędzie rezydujące w pamięci, które można również uruchomić na oprogramowaniu serwera internetowego Internetowych usług informacyjnych (ISS). Narzędzie jest na radarze badaczy bezpieczeństwa od 2021 roku, a zaobserwowane w przeszłości ataki były zgodne ze zwykłymi celami, które Chiny wybierają do cyberszpiegostwa.

Framework jest dość duży i złożony, składa się z co najmniej 18 różnych modułów oferujących różne funkcjonalności. Obserwowane moduły są również stale aktualizowane, co oznacza, że całe zagrożenie IceApple jest nadal aktywnie rozwijane.

IceApple posiada moduły, które umożliwiają tworzenie list katalogów, zapisywanie i usuwanie plików, wysyłanie żądań HTTP, kradzież poświadczeń i eksfiltrację plików do kontrolera zdalnych lokalizacji przez podmiot atakujący.

Dogłębna analiza wykazała, że framework IceApple został opracowany przez osoby posiadające głęboką wiedzę na temat nadużywanych systemów bazowych, w tym wiedzę o funkcjonalności ISS, która nigdy nie została oficjalnie udokumentowana.

Badacze zauważyli również, że osoby atakujące wykorzystujące platformę IceApple miały zwyczaj powracania do zaatakowanych systemów, aby co kilka tygodni sprawdzać nowe rozwiązania i przeprowadzać więcej zbierania danych.