IceApple 恶意软件以 MS Exchange 服务器为目标
安全研究人员发布了一份关于一种名为 IceApple 的新型恶意软件的详细报告。 IceApple 被描述为一种后利用框架,可让威胁行为者在雷达下长时间访问受感染的系统。
信息安全公司 CrowdStrike 的一个团队检查了该威胁,并认为该恶意软件与与中国有联系的威胁行为者有关,可能也是由国家赞助的。
IceApple 框架是一种内存驻留工具,也可以在 Internet 信息服务 (ISS) Web 服务器软件上运行。自 2021 年以来,该工具一直受到安全研究人员的关注,过去观察到的攻击与中国选择的网络间谍活动的通常目标一致。
该框架相当庞大和复杂,包含至少 18 个提供不同功能的不同模块。观察到的模块也在不断更新,这意味着整个 IceApple 威胁仍在积极开发中。
IceApple 的模块允许目录列表、写入和删除文件、发出 HTTP 请求、凭据盗窃以及威胁参与者将文件泄露到远程位置控制器。
深入分析表明,IceApple 框架是由对被滥用的底层系统有深入了解的人开发的,包括从未正式记录的 ISS 功能知识。
研究人员还指出,利用 IceApple 框架的攻击者习惯于每隔几周返回受感染的系统以检查新的发展并进行更多的数据收集。
May 16, 2022
