Новый эксплойт IceApple заражает сервера Microsoft Exchange

Исследователи безопасности обнаружили новую платформу для последующей эксплуатации под названием IceApple , развернутую на серверах Microsoft Exchange.

IceApple является очень изощренным эксплойтом с возможностью сдерживания долгосрочных целей при целенаправленных атаках. Фреймворк был обнаружен в конце 2021 года командой по поиску активных угроз OverWatch CrowdStrike и находится в стадии активной разработки. Исследователи наблюдали развертывание IceApple после получения злоумышленником доступа к сети, принадлежащей организациям в технологическом, академическом и правительственном секторах деятельности.

По словам исследователей, IceApple был развернут на экземплярах Microsoft Exchange Server, но он также может работать в веб-приложениях Internet Information Services (IIS). Платформа основана на .NET и поставляется с 18 модулями с определенными функциями для обнаружения соответствующих компьютеров в сети, кражи учетных данных, удаления файлов и каталогов или извлечения ценных данных. Команда OverWatch CrowdStrike предполагает участие Китая в кибератаках IceApple.

Разработчик IceApple хорошо разбирается в программном обеспечении IIS. На это указывает наличие модуля недокументированных полей, которые не предназначены для сторонних разработчиков.

«Детальный анализ модулей позволяет предположить, что IceApple был разработан злоумышленником с глубокими знаниями о внутренней работе программного обеспечения IIS», - сказали эксперты CrowdStrike OverWatch.

Модули IceApple работают в памяти и не привлекают внимания к скомпрометированному хосту для уменьшения следа криминалистической экспертизы. Также для поддержания скрытности эксплойт проникает в скомпрометированную среду путем создания файлов сборки, которые, возможно, временно генерируются Microsoft IIS сервером.

«На первый взгляд они кажутся ожидаемыми временными файлами IIS, созданными как часть процесса преобразования исходных файлов ASPX в .NET для загрузки IIS» - сказали исследователи.

Файлы были созданы не случайным образом и загружены способом, не типичным для Microsoft Exchange и IIS. Облачное решение безопасности CrowdStrike Falcon вызвало предупреждение при развертывании нового клиентского модуля Microsoft OWA (Outlook on the web) в .NET среде и позволило обнаружить IceApple.

Возможно, в будущем разработчик добавит в IceApple больше модулей и адаптирует фреймворк к технологиям обнаружения.

Команда не предоставила точное число жертв эксплойта, но сообщила о вторжениях в нескольких средах пользователей и порекомендовала устанавливать последние обновления всех веб-приложений для надежной защиты от возможных угроз IceApple.