Los investigadores han detallado un marco de post-explotación basado en .NET previamente no documentado llamado IceApple que se ha implementado en instancias de servidor de Microsoft Exchange para facilitar el reconocimiento y la filtración de datos.
“Se sospecha que es obra de un adversario del nexo estatal, IceApple permanece en desarrollo activo, con 18 módulos observados en uso en varios entornos empresariales, a partir de mayo de 2022”, CrowdStrike dicho en un informe del miércoles.
La firma de ciberseguridad, que descubrió el sofisticado malware a fines de 2021, notó su presencia en múltiples redes de víctimas y en ubicaciones geográficamente distintas. Las víctimas objetivo abarcan una amplia gama de sectores, incluidas las entidades tecnológicas, académicas y gubernamentales.
Un conjunto de herramientas posteriores a la explotación, como su nombre lo indica, no se utiliza para proporcionar acceso inicial, sino que se emplea para llevar a cabo ataques posteriores después de haber comprometido los hosts en cuestión.
IceApple se destaca por el hecho de que es un marco en memoria, lo que indica un intento por parte del actor de amenazas de mantener una huella forense baja y evadir la detección, lo que, a su vez, tiene todas las características de una recopilación de inteligencia a largo plazo. misión.
Si bien las intrusiones observadas hasta ahora involucraron la carga de malware en los servidores de Microsoft Exchange, IceApple es capaz de ejecutarse en cualquier aplicación web de Internet Information Services (IIS), lo que lo convierte en un amenaza potente.
Los diferentes módulos que vienen con el marco equipan al malware para enumerar y eliminar archivos y directorios, escribir datos, robar credenciales, consultar Active Directory y exportar datos confidenciales. Las marcas de tiempo de compilación en estos componentes se remontan a mayo de 2021.
“En esencia, IceApple es un marco posterior a la explotación centrado en aumentar la visibilidad de un adversario de un objetivo a través de la adquisición de credenciales y la filtración de datos”, concluyeron los investigadores.
“IceApple ha sido desarrollado por un adversario con un conocimiento detallado del funcionamiento interno de IIS. Garantizar que todas las aplicaciones web se parcheen de forma regular y completa es fundamental para evitar que IceApple acabe en su entorno”.