Les chercheurs ont détaillé un framework de post-exploitation basé sur .NET, jusque-là non documenté, appelé IceApple, qui a été déployé sur des instances de serveur Microsoft Exchange pour faciliter la reconnaissance et l’exfiltration de données.
« Suspecté d’être l’œuvre d’un adversaire du lien d’état, IceApple reste en cours de développement actif, avec 18 modules observés en cours d’utilisation dans un certain nombre d’environnements d’entreprise, en mai 2022 », CrowdStrike mentionné dans un rapport de mercredi.
La société de cybersécurité, qui a découvert le logiciel malveillant sophistiqué fin 2021, a noté sa présence dans de multiples réseaux de victimes et dans des endroits géographiquement distincts. Les victimes ciblées couvrent un large éventail de secteurs, y compris des entités technologiques, universitaires et gouvernementales.
Un ensemble d’outils de post-exploitation, comme son nom l’indique, n’est pas utilisé pour fournir un accès initial, mais est plutôt utilisé pour effectuer des attaques de suivi après avoir déjà compromis les hôtes en question.
IceApple se distingue par le fait qu’il s’agit d’un cadre en mémoire, indiquant une tentative de la part de l’acteur de la menace de maintenir une faible empreinte médico-légale et d’échapper à la détection, ce qui, à son tour, porte toutes les caractéristiques d’une collecte de renseignements à long terme. mission.
Bien que les intrusions observées jusqu’à présent aient impliqué le téléchargement de logiciels malveillants sur les serveurs Microsoft Exchange, IceApple est capable de s’exécuter sous n’importe quelle application Web Internet Information Services (IIS), ce qui en fait un menace puissante.
Les différents modules fournis avec le framework permettent au logiciel malveillant de répertorier et de supprimer des fichiers et des répertoires, d’écrire des données, de voler des informations d’identification, d’interroger Active Directory et d’exporter des données sensibles. Les horodatages de construction sur ces composants remontent à mai 2021.
« À la base, IceApple est un cadre de post-exploitation axé sur l’augmentation de la visibilité d’un adversaire sur une cible grâce à l’acquisition d’informations d’identification et à l’exfiltration de données », ont conclu les chercheurs.
« IceApple a été développé par un adversaire possédant une connaissance détaillée du fonctionnement interne d’IIS. S’assurer que toutes les applications Web sont régulièrement et entièrement corrigées est essentiel pour empêcher IceApple de se retrouver dans votre environnement. »