Вредоносное ПО IceApple нацелено на серверы MS Exchange
Исследователи безопасности опубликовали подробный отчет о новом штамме вредоносного ПО, получившем название IceApple. IceApple описывается как постэксплуатационный фреймворк, дающий злоумышленникам длительный незаметный доступ к скомпрометированным системам.
Команда компании CrowdStrike, занимающейся информационной безопасностью, изучила угрозу и считает, что вредоносное ПО связано с злоумышленником, связанным с Китаем, который, вероятно, также спонсируется государством.
Инфраструктура IceApple — это резидентный в памяти инструмент, который также можно запускать на программном обеспечении веб-сервера Internet Information Services (ISS). Инструмент находится в поле зрения исследователей безопасности с 2021 года, и прошлые наблюдаемые атаки соответствовали обычным целям, которые Китай выбирает для кибершпионажа.
Фреймворк довольно большой и сложный, он включает в себя не менее 18 различных модулей с разной функциональностью. Наблюдаемые модули также постоянно обновляются, а это означает, что вся угроза IceApple все еще находится в активной разработке.
У IceApple есть модули, которые позволяют злоумышленнику просматривать список каталогов, записывать и удалять файлы, делать HTTP-запросы, похищать учетные данные и передавать файлы в удаленные места.
Углубленный анализ показал, что инфраструктура IceApple была разработана людьми, обладающими глубокими знаниями о базовых системах, подвергшихся злоупотреблениям, в том числе знаниями о функциях ISS, которые никогда официально не документировались.
Исследователи также отметили, что злоумышленники, использующие платформу IceApple, имели привычку возвращаться к скомпрометированным системам, чтобы проверять наличие новых разработок и проводить дополнительный сбор данных каждые пару недель.