Onderzoekers hebben een eerder ongedocumenteerd, op .NET gebaseerd post-exploitatieraamwerk, IceApple genaamd, beschreven dat is geïmplementeerd op Microsoft Exchange-serverinstanties om verkenning en gegevensexfiltratie te vergemakkelijken.
“IceApple wordt ervan verdacht het werk te zijn van een staat-nexus-aanvaller en blijft in actieve ontwikkeling, met 18 modules waargenomen in gebruik in een aantal bedrijfsomgevingen, vanaf mei 2022,” CrowdStrike zei in een bericht van woensdag.
Het cyberbeveiligingsbedrijf, dat de geavanceerde malware eind 2021 ontdekte, merkte zijn aanwezigheid op in meerdere slachtoffernetwerken en op geografisch verschillende locaties. Gerichte slachtoffers omvatten een breed scala aan sectoren, waaronder technologie, academische en overheidsinstanties.
Een post-exploitation toolset, zoals de naam al aangeeft, wordt niet gebruikt om initiële toegang te bieden, maar wordt eerder gebruikt om vervolgaanvallen uit te voeren nadat de hosts in kwestie al gecompromitteerd zijn.
IceApple valt op door het feit dat het een in-memory framework is, wat wijst op een poging van de kant van de dreigingsactor om een lage forensische voetafdruk te behouden en detectie te ontwijken, wat op zijn beurt alle kenmerken draagt van een langetermijninformatievergaring missie.
Hoewel de tot nu toe waargenomen indringers de malware op Microsoft Exchange-servers hebben geladen, kan IceApple onder elke Internet Information Services (IIS)-webtoepassing worden uitgevoerd, waardoor het een krachtige bedreiging.
De verschillende modules die bij het framework worden geleverd, zorgen ervoor dat de malware bestanden en mappen kan weergeven en verwijderen, gegevens kan schrijven, inloggegevens kan stelen, Active Directory kan opvragen en gevoelige gegevens kan exporteren. De bouwtijdstempels voor deze componenten dateren van mei 2021.
“In de kern is IceApple een post-exploitatieraamwerk dat is gericht op het vergroten van de zichtbaarheid van een doelwit door een tegenstander door het verkrijgen van referenties en exfiltratie van gegevens”, concludeerden de onderzoekers.
“IceApple is ontwikkeld door een tegenstander met gedetailleerde kennis van de interne werking van IIS. Ervoor zorgen dat alle webapplicaties regelmatig en volledig worden gepatcht, is van cruciaal belang om te voorkomen dat IceApple in uw omgeving terechtkomt.”
