Para peneliti telah merinci kerangka pasca-eksploitasi berbasis .NET yang sebelumnya tidak terdokumentasi yang disebut IceApple yang telah digunakan pada instans server Microsoft Exchange untuk memfasilitasi pengintaian dan eksfiltrasi data.

“Dicurigai sebagai pekerjaan musuh perhubungan negara, IceApple tetap dalam pengembangan aktif, dengan 18 modul diamati digunakan di sejumlah lingkungan perusahaan, pada Mei 2022,” kata CrowdStrike dalam laporan Rabu.

Perusahaan keamanan siber, yang menemukan malware canggih pada akhir 2021, mencatat kehadirannya di beberapa jaringan korban dan di lokasi yang berbeda secara geografis. Korban yang ditargetkan menjangkau berbagai sektor, termasuk teknologi, akademik, dan entitas pemerintah.

Sebuah toolset pasca-eksploitasi, seperti namanya, tidak digunakan untuk memberikan akses awal, tetapi lebih digunakan untuk melakukan serangan lanjutan setelah mengkompromikan host yang bersangkutan.

flow 1

IceApple terkenal karena fakta bahwa ini adalah kerangka kerja dalam memori, yang menunjukkan upaya dari pihak pelaku ancaman untuk mempertahankan jejak forensik yang rendah dan menghindari deteksi, yang, pada gilirannya, memiliki semua keunggulan dari pengumpulan-intelijen jangka panjang. misi.

Sementara intrusi yang diamati sejauh ini melibatkan malware yang dimuat di Microsoft Exchange Server, IceApple mampu berjalan di bawah aplikasi web Layanan Informasi Internet (IIS), menjadikannya ancaman yang kuat.

Keamanan cyber

Modul berbeda yang disertakan dengan kerangka kerja melengkapi malware untuk membuat daftar dan menghapus file dan direktori, menulis data, mencuri kredensial, menanyakan Active Directory, dan mengekspor data sensitif. Stempel waktu build pada komponen ini berasal dari Mei 2021.

Related Post :   Kelemahan Zoom Baru Dapat Membiarkan Penyerang Meretas Korban Hanya dengan Mengirimkan Pesan kepada mereka

“Pada intinya, IceApple adalah kerangka kerja pasca-eksploitasi yang berfokus pada peningkatan visibilitas target musuh melalui perolehan kredensial dan pemusnahan data,” para peneliti menyimpulkan.

“IceApple telah dikembangkan oleh musuh dengan pengetahuan rinci tentang cara kerja IIS. Memastikan semua aplikasi web secara teratur dan sepenuhnya ditambal sangat penting untuk mencegah IceApple berakhir di lingkungan Anda.”