IceApple 惡意軟件以 MS Exchange 服務器為目標
安全研究人員發布了一份關於一種名為 IceApple 的新型惡意軟件的詳細報告。 IceApple 被描述為一種後利用框架,可讓威脅行為者在不為人知的情況下長時間訪問受感染的系統。
信息安全公司 CrowdStrike 的一個團隊檢查了該威脅,並認為該惡意軟件與與中國有聯繫的威脅行為者有關,可能也是由國家贊助的。
IceApple 框架是一種內存駐留工具,也可以在 Internet 信息服務 (ISS) Web 服務器軟件上運行。自 2021 年以來,該工具一直受到安全研究人員的關注,過去觀察到的攻擊與中國選擇的網絡間諜活動的通常目標一致。
該框架相當龐大和復雜,包含至少 18 個提供不同功能的不同模塊。觀察到的模塊也在不斷更新,這意味著整個 IceApple 威脅仍在積極開發中。
IceApple 的模塊允許目錄列表、寫入和刪除文件、發出 HTTP 請求、憑據盜竊以及威脅參與者將文件洩露到遠程位置控制器。
深入分析表明,IceApple 框架是由對被濫用的底層系統有深入了解的人開發的,包括從未正式記錄的 ISS 功能知識。
研究人員還指出,利用 IceApple 框架的攻擊者習慣於每隔幾週返回受感染的系統以檢查新的發展並進行更多的數據收集。
May 16, 2022
