IceApple Malware riktar sig till MS Exchange-servrar

Säkerhetsforskare har publicerat en detaljerad rapport om en ny stam av skadlig programvara kallad IceApple. IceApple beskrivs som ett ramverk efter exploatering som ger hotaktörer långvarig tillgång under radarn till komprometterade system.

Ett team med infosec-företaget CrowdStrike undersökte hotet och tror att skadlig programvara är kopplad till en hotaktör med länkar till Kina, troligen en som också är statligt sponsrad.

IceApple-ramverket är ett minnesbaserat verktyg som även kan köras på Internet Information Services (ISS) webbserverprogramvara. Verktyget har funnits på radarn för säkerhetsforskare sedan 2021, och tidigare observerade attacker var i linje med de vanliga mål som Kina väljer för cyberspionage.

Ramverket är ganska stort och komplext och består av minst 18 olika moduler med olika funktionalitet. Modulerna som observeras uppdateras också ständigt, vilket innebär att hela IceApple-hotet fortfarande är i aktiv utveckling.

IceApple har moduler som tillåter kataloglistning, skrivning till och radering av filer, gör HTTP-förfrågningar, stöld av autentiseringsuppgifter och filexfiltrering till fjärrkontroller för platser av hotaktören.

Den djupgående analysen visade att IceApple-ramverket utvecklades av personer med djup kunskap om de missbrukade underliggande systemen, inklusive kunskap om ISS-funktionalitet som aldrig officiellt dokumenterats.

Forskare noterade också att angripare som utnyttjade IceApple-ramverket hade för vana att återvända till de komprometterade systemen för att leta efter ny utveckling och genomföra mer datainsamling varannan vecka.