Οι ερευνητές ασφαλείας βρήκαν ένα νέο post-exploitation framework που ονόμασαν IceApple, το οποίο έχει αναπτυχθεί κυρίως σε servers Microsoft Exchange.
Το IceApple περιγράφεται ως «πολύ εξελιγμένο», και ο προγραμματιστής του δίνει προτεραιότητα στη διατήρηση χαμηλού προφίλ για μακροπρόθεσμους στόχους σε στοχευμένες επιθέσεις.
Το IceApple εκτελείται σε Microsoft Exchange και IIS
Το framework ανακαλύφθηκε από την ομάδα Falcon OverWatch της CrowdStrike, στα τέλη του 2021 και βρίσκεται υπό ενεργό ανάπτυξη.
Οι ερευνητές παρατήρησαν ότι το IceApple αναπτύσσεται αφού ο απειλητικός παράγοντας αποκτήσει αρχική πρόσβαση στο δίκτυο που ανήκει σε οργανισμούς σε διάφορους τομείς δραστηριότητας: τεχνολογία, ακαδημαϊκό και κυβερνητικό.
Σύμφωνα με τους ερευνητές, το IceApple έχει αναπτυχθεί σε instances του Microsoft Exchange Server, αλλά μπορεί και να εκτελεστεί σε εφαρμογές web Internet Information Services (IIS).
Το framework βασίζεται σε .NET και διαθέτει τουλάχιστον 18 modules, το καθένα για μια συγκεκριμένη εργασία, που βοηθούν τον εισβολέα να ανακαλύψει σχετικές μηχανές στο δίκτυο, να κλέψει credentials, να διαγράψει αρχεία και directories ή να εξάγει πολύτιμα δεδομένα.
Η ομάδα OverWatch του CrowdStrike λέει ότι η συμπεριφορά του IceApple που εντόπισαν ευθυγραμμίζεται με τη δραστηριότητα που συνήθως παρατηρείται σε επιθέσεις από έναν αντίπαλο που χρηματοδοτείται από το κράτος.
Αν και αυτή τη στιγμή δεν υπάρχει σαφής απόδοση σε έναν απειλητικό παράγοντα, οι ερευνητές λένε ότι οι στοχευμένες εισβολές φαίνεται να ευθυγραμμίζονται με τους στόχους της Κίνας.
Κατασκευασμένο για κρυφή δραστηριότητα
Ο απειλητικός παράγοντας πίσω από το IceApple έχει μια σταθερή κατανόηση του λογισμικού IIS. Μια ένδειξη αυτού είναι η παρουσία ενός module που εκμεταλλεύεται πεδία χωρίς τεκμηρίωση, τα οποία δεν προορίζονταν για προγραμματιστές τρίτων.
Για να διατηρήσουν χαμηλό προφίλ στον παραβιασμένο host, τα modules του IceApple τρέχουν στη μνήμη, διατηρώντας έτσι το forensic footprint στο ελάχιστο.
Πρόσθετες προσπάθειες για να παραμείνουν μη ανιχνεύσιμα περιλαμβάνουν την ανάμειξη στο παραβιασμένο περιβάλλον με τη δημιουργία αρχείων συναρμολόγησης που φαίνεται να δημιουργούνται προσωρινά από τον IIS web server της Microsoft.
Ωστόσο, μια πιο προσεκτική ματιά αποκαλύπτει ότι τα αρχεία δεν έχουν δημιουργηθεί τυχαία και φορτώνονται με τρόπο που δεν είναι τυπικός του Microsoft Exchange και των υπηρεσιών IIS.
Η ανακάλυψη του IceApple ήταν δυνατή αφού η cloud-based λύση ασφαλείας Falcon του CrowdStrike ενεργοποίησε μια ειδοποίηση στο Microsoft OWA deployment ενός νέου πελάτη για αρχεία συναρμολόγησης .NET που φορτώθηκαν αντανακλαστικά.
Το IceApple είναι πιθανό να έχει μη ανακαλυφθέντα modules και οι προγραμματιστές του αναμένεται να προωθήσουν ακόμη περισσότερο το framework, ώστε να προσαρμοστούν στην τεχνολογία ανίχνευσης.
Η CrowdStrike δεν έχει δώσει ακριβή αριθμό για τα θύματα στα οποία εντοπίστηκε το IceApple, αλλά η εταιρεία παρατήρησε εισβολές σε περιβάλλοντα πολλών θυμάτων.
Η εταιρεία συνιστά ανεπιφύλακτα την εγκατάσταση των πιο πρόσφατων ενημερώσεων κώδικα για όλες τις εφαρμογές web για ισχυρή άμυνα ενάντια στον απειλητικό παράγοντα πίσω από το IceApple.
Πηγή πληροφοριών: bleepingcomputer.com
