Araştırmacılar, keşif ve veri hırsızlığını kolaylaştırmak için Microsoft Exchange sunucu örneklerine dağıtılan IceApple adlı daha önce belgelenmemiş .NET tabanlı bir sömürü sonrası çerçevesini ayrıntılı olarak açıkladılar.
CrowdStrike, “Devlet-bağlı bir düşmanın işi olduğundan şüphelenilen IceApple, Mayıs 2022 itibariyle bir dizi kurumsal ortamda kullanımda olduğu gözlemlenen 18 modül ile aktif geliştirme aşamasındadır.” dedim Çarşamba raporunda.
Gelişmiş kötü amaçlı yazılımı 2021’in sonlarında keşfeden siber güvenlik firması, birden fazla kurban ağında ve coğrafi olarak farklı konumlarda varlığını kaydetti. Hedeflenen kurbanlar, teknoloji, akademik ve devlet kurumları dahil olmak üzere çok çeşitli sektörleri kapsar.
Adından da anlaşılacağı gibi, bir sömürü sonrası araç seti, ilk erişimi sağlamak için kullanılmaz, daha ziyade söz konusu ana bilgisayarları tehlikeye attıktan sonra takip eden saldırıları gerçekleştirmek için kullanılır.
IceApple, tehdit aktörünün düşük adli ayak izini sürdürme ve algılamadan kaçınma girişimini gösteren bir bellek içi çerçeve olması gerçeğiyle dikkate değerdir ve bu da uzun vadeli bir istihbarat toplamanın tüm ayırt edici özelliklerini taşır. misyon.
Şimdiye kadar gözlemlenen izinsiz girişler, kötü amaçlı yazılımın Microsoft Exchange Sunucularına yüklenmesini içeriyor olsa da, IceApple herhangi bir İnternet Bilgi Hizmetleri (IIS) web uygulaması altında çalışabilir ve bu da onu güçlü tehdit.
Çerçeve ile birlikte gelen farklı modüller, kötü amaçlı yazılımı dosya ve dizinleri listelemek ve silmek, veri yazmak, kimlik bilgilerini çalmak, Active Directory’yi sorgulamak ve hassas verileri dışa aktarmak için donatır. Bu bileşenler üzerinde zaman damgaları oluşturma tarihi Mayıs 2021’e kadar uzanmaktadır.
Araştırmacılar, “Özünde, IceApple, kimlik bilgilerinin edinilmesi ve verilerin sızdırılması yoluyla bir düşmanın bir hedefin görünürlüğünü artırmaya odaklanan bir sömürü sonrası çerçevedir.”
“IceApple, IIS’nin iç işleyişi hakkında ayrıntılı bilgiye sahip bir rakip tarafından geliştirilmiştir. Tüm web uygulamalarının düzenli olarak ve tam olarak yamalandığından emin olmak, IceApple’ın ortamınızda son bulmasını önlemek için kritik öneme sahiptir.”
