Soc

Новый эксплойт IceApple заражает сервера Microsoft Exchange

Новый эксплойт IceApple заражает сервера Microsoft Exchange Новый эксплойт IceApple заражает сервера Microsoft Exchange Новый эксплойт IceApple заражает сервера Microsoft Exchange
13.05.2022

Исследователи безопасности обнаружили новую платформу для последующей эксплуатации под названием IceApple , развернутую на серверах Microsoft Exchange.

IceApple является очень изощренным эксплойтом с возможностью сдерживания долгосрочных целей при целенаправленных атаках. Фреймворк был обнаружен в конце 2021 года командой по поиску активных угроз OverWatch CrowdStrike и находится в стадии активной разработки. Исследователи наблюдали развертывание IceApple после получения злоумышленником доступа к сети, принадлежащей организациям в технологическом, академическом и правительственном секторах деятельности.

По словам исследователей, IceApple был развернут на экземплярах Microsoft Exchange Server, но он также может работать в веб-приложениях Internet Information Services (IIS). Платформа основана на .NET и поставляется с 18 модулями с определенными функциями для обнаружения соответствующих компьютеров в сети, кражи учетных данных, удаления файлов и каталогов или извлечения ценных данных. Команда OverWatch CrowdStrike предполагает участие Китая в кибератаках IceApple.

Разработчик IceApple хорошо разбирается в программном обеспечении IIS. На это указывает наличие модуля недокументированных полей, которые не предназначены для сторонних разработчиков.

«Детальный анализ модулей позволяет предположить, что IceApple был разработан злоумышленником с глубокими знаниями о внутренней работе программного обеспечения IIS», - сказали эксперты CrowdStrike OverWatch.

Модули IceApple работают в памяти и не привлекают внимания к скомпрометированному хосту для уменьшения следа криминалистической экспертизы. Также для поддержания скрытности эксплойт проникает в скомпрометированную среду путем создания файлов сборки, которые, возможно, временно генерируются Microsoft IIS сервером.

«На первый взгляд они кажутся ожидаемыми временными файлами IIS, созданными как часть процесса преобразования исходных файлов ASPX в .NET для загрузки IIS» - сказали исследователи.

Файлы были созданы не случайным образом и загружены способом, не типичным для Microsoft Exchange и IIS. Облачное решение безопасности CrowdStrike Falcon вызвало предупреждение при развертывании нового клиентского модуля Microsoft OWA (Outlook on the web) в .NET среде и позволило обнаружить IceApple.

Возможно, в будущем разработчик добавит в IceApple больше модулей и адаптирует фреймворк к технологиям обнаружения.

Команда не предоставила точное число жертв эксплойта, но сообщила о вторжениях в нескольких средах пользователей и порекомендовала устанавливать последние обновления всех веб-приложений для надежной защиты от возможных угроз IceApple.


Комментарии 0