Malware IceApple tem como alvo servidores MS Exchange

Pesquisadores de segurança publicaram um relatório detalhado sobre uma nova variedade de malware chamada IceApple. O IceApple é descrito como uma estrutura pós-exploração que oferece aos agentes de ameaças acesso prolongado sob o radar aos sistemas comprometidos.

Uma equipe da empresa de informações de segurança CrowdStrike examinou a ameaça e acredita que o malware está vinculado a um agente de ameaças com links para a China, provavelmente patrocinado pelo Estado.

A estrutura IceApple é uma ferramenta residente na memória que também pode ser executada no software de servidor da Web do Internet Information Services (ISS). A ferramenta está no radar dos pesquisadores de segurança desde 2021, e os ataques anteriores observados estavam alinhados com os alvos usuais que a China escolhe para espionagem cibernética.

A estrutura é bastante grande e complexa, compreendendo pelo menos 18 módulos diferentes que oferecem diferentes funcionalidades. Os módulos observados também estão sendo constantemente atualizados, o que significa que toda a ameaça IceApple ainda está em desenvolvimento ativo.

O IceApple possui módulos que permitem listar diretórios, gravar e excluir arquivos, fazer solicitações HTTP, roubo de credenciais e exfiltração de arquivos para controladores de locais remotos pelo agente da ameaça.

A análise aprofundada mostrou que a estrutura IceApple foi desenvolvida por pessoas com profundo conhecimento dos sistemas subjacentes abusados, incluindo o conhecimento da funcionalidade do ISS que nunca foi oficialmente documentada.

Os pesquisadores também observaram que os invasores que exploram a estrutura IceApple tinham o hábito de retornar aos sistemas comprometidos para verificar novos desenvolvimentos e realizar mais coleta de dados a cada duas semanas.