Вредоносное ПО IceApple нацелено на серверы MS Exchange

Исследователи безопасности опубликовали подробный отчет о новом штамме вредоносного ПО, получившем название IceApple. IceApple описывается как постэксплуатационный фреймворк, дающий злоумышленникам длительный незаметный доступ к скомпрометированным системам.

Команда компании CrowdStrike, занимающейся информационной безопасностью, изучила угрозу и считает, что вредоносное ПО связано с злоумышленником, связанным с Китаем, который, вероятно, также спонсируется государством.

Инфраструктура IceApple — это резидентный в памяти инструмент, который также можно запускать на программном обеспечении веб-сервера Internet Information Services (ISS). Инструмент находится в поле зрения исследователей безопасности с 2021 года, и прошлые наблюдаемые атаки соответствовали обычным целям, которые Китай выбирает для кибершпионажа.

Фреймворк довольно большой и сложный, он включает в себя не менее 18 различных модулей с разной функциональностью. Наблюдаемые модули также постоянно обновляются, а это означает, что вся угроза IceApple все еще находится в активной разработке.

У IceApple есть модули, которые позволяют злоумышленнику просматривать список каталогов, записывать и удалять файлы, делать HTTP-запросы, похищать учетные данные и передавать файлы в удаленные места.

Углубленный анализ показал, что инфраструктура IceApple была разработана людьми, обладающими глубокими знаниями о базовых системах, подвергшихся злоупотреблениям, в том числе знаниями о функциях ISS, которые никогда официально не документировались.

Исследователи также отметили, что злоумышленники, использующие платформу IceApple, имели привычку возвращаться к скомпрометированным системам, чтобы проверять наличие новых разработок и проводить дополнительный сбор данных каждые пару недель.