Исследователи безопасности обнаружили новую платформу для последующей эксплуатации под названием IceApple , развернутую на серверах Microsoft Exchange.
IceApple является очень изощренным эксплойтом с возможностью сдерживания долгосрочных целей при целенаправленных атаках. Фреймворк был обнаружен в конце 2021 года командой по поиску активных угроз OverWatch CrowdStrike и находится в стадии активной разработки. Исследователи наблюдали развертывание IceApple после получения злоумышленником доступа к сети, принадлежащей организациям в технологическом, академическом и правительственном секторах деятельности.
По словам исследователей, IceApple был развернут на экземплярах Microsoft Exchange Server, но он также может работать в веб-приложениях Internet Information Services (IIS). Платформа основана на .NET и поставляется с 18 модулями с определенными функциями для обнаружения соответствующих компьютеров в сети, кражи учетных данных, удаления файлов и каталогов или извлечения ценных данных. Команда OverWatch CrowdStrike предполагает участие Китая в кибератаках IceApple.
Разработчик IceApple хорошо разбирается в программном обеспечении IIS. На это указывает наличие модуля недокументированных полей, которые не предназначены для сторонних разработчиков.
«Детальный анализ модулей позволяет предположить, что IceApple был разработан злоумышленником с глубокими знаниями о внутренней работе программного обеспечения IIS», - сказали эксперты CrowdStrike OverWatch.
Модули IceApple работают в памяти и не привлекают внимания к скомпрометированному хосту для уменьшения следа криминалистической экспертизы. Также для поддержания скрытности эксплойт проникает в скомпрометированную среду путем создания файлов сборки, которые, возможно, временно генерируются Microsoft IIS сервером.
«На первый взгляд они кажутся ожидаемыми временными файлами IIS, созданными как часть процесса преобразования исходных файлов ASPX в .NET для загрузки IIS» - сказали исследователи.
Файлы были созданы не случайным образом и загружены способом, не типичным для Microsoft Exchange и IIS. Облачное решение безопасности CrowdStrike Falcon вызвало предупреждение при развертывании нового клиентского модуля Microsoft OWA (Outlook on the web) в .NET среде и позволило обнаружить IceApple.
Возможно, в будущем разработчик добавит в IceApple больше модулей и адаптирует фреймворк к технологиям обнаружения.
Команда не предоставила точное число жертв эксплойта, но сообщила о вторжениях в нескольких средах пользователей и порекомендовала устанавливать последние обновления всех веб-приложений для надежной защиты от возможных угроз IceApple.
Google объявила о новых юридических шагах против организованных групп мошенников, использующих бренд компании для обмана пользователей и продвижения фишинговых схем.
Сотрудники компаний в шесть раз реже открывают опасные письма, если проходят регулярное обучение по кибербезопасности.
Эксперты Positive Technologies опубликовали свежий дайджест трендовых уязвимостей, включивший девять критических недостатков безопасности, затрагивающих популярные программные продукты: от Microsoft и Linux до Redis, Zimbra и XWiki.
«Группа Астра» выводит на рынок линейку программно-аппаратных комплексов XPlatform, предназначенных для быстрого развертывания устойчивой, высокопроизводительной и безопасной ИТ-инфраструктуры «под ключ».
K2 Cloud, K2 Кибербезопасность и Positive Technologies запустили бесплатный онлайн-сервис, который позволяет за 10 минут оценить уровень защиты ИТ-инфраструктуры бизнеса от кибератак и получить рекомендации по дальнейшему усилению киберустойчивости.
Премьер-министр России Михаил Мишустин поручил Министерству цифрового развития определить требования к облачной инфраструктуре, на которой могут размещаться системы и данные объектов критической информационной инфраструктуры.
Банк России сообщил, что новые правила проверки переводов через Систему быстрых платежей коснутся только крупных операций - от 200 тысяч рублей, и только в случае, если деньги отправляются «незнакомому» получателю, с которым клиент не совершал переводов как минимум полгода.
Федеральный суд США принял признание вины от гражданина Великобритании, участвовавшего в распространении и продаже доступа к корпоративным сетям для группировки Yanluowang, известной атаками на компании в Европе и Северной Америке.
В последние месяцы специалисты по кибербезопасности наблюдают новую волну вредоносных программ - мутационных ИИ-троянов, которые способны адаптироваться и менять своё поведение в реальном времени, обходя традиционные средства защиты.
Советник генерального директора – начальник удостоверяющего центра ООО «Газинформсервис», к.
