Forscher haben ein bisher undokumentiertes .NET-basiertes Post-Exploitation-Framework namens IceApple entdeckt, das auf Microsoft Exchange Server-Instanzen eingesetzt wurde, um die Auskundschaftung und Datenexfiltration zu erleichtern.
„Es wird vermutet, dass IceApple von einem staatlich organisierten Angreifer entwickelt wird. Im Mai 2022 wurden 18 Module in einer Reihe von Unternehmensumgebungen beobachtet“, so CrowdStrike in einem Bericht vom Mittwoch.
Die Cybersecurity-Firma entdeckte die ausgeklügelte Malware Ende 2021 und stellte fest, dass sie in mehreren Opfernetzwerken und an verschiedenen geografischen Standorten verbreitet ist. Die Opfer stammen aus einer Vielzahl von Branchen, darunter Technologieunternehmen, Universitäten und Behörden.
Ein Post-Exploitation-Toolset wird, wie der Name schon sagt, nicht verwendet, um sich den ersten Zugang zu verschaffen, sondern um Folgeangriffe auszuführen, nachdem die betreffenden Rechner bereits kompromittiert wurden.
IceApple zeichnet sich dadurch aus, dass es sich um ein In-Memory-Framework handelt, was darauf hindeutet, dass der Bedrohungsakteur versucht, seine forensischen Spuren zu verwischen und sich der Entdeckung zu entziehen, was wiederum auf eine langfristige Informationsbeschaffung hindeutet.
Bei den bisher beobachteten Angriffen wurde die Malware auf Microsoft Exchange Server geladen. IceApple kann jedoch unter jeder Internet Information Services (IIS) Webanwendung ausgeführt werden, was es zu einer starken Bedrohung macht.
Mit den verschiedenen Modulen des Frameworks ist die Malware in der Lage, Dateien und Verzeichnisse aufzulisten und zu löschen, Daten zu schreiben, Anmeldeinformationen zu stehlen, Active Directory abzufragen und sensible Daten zu exportieren. Der Zeitstempel für die Erstellung dieser Komponenten reicht bis Mai 2021 zurück.
„Im Kern ist IceApple ein Post-Exploitation-Framework, das darauf abzielt, die Sichtbarkeit eines Angreifers auf ein Ziel durch die Beschaffung von Zugangsdaten und die Exfiltration von Daten zu erhöhen“, so das Fazit der Forscher.
„IceApple wurde von einem Angreifer entwickelt, der die Funktionsweise von IIS genau kennt. Um zu verhindern, dass IceApple in deiner Umgebung auftaucht, ist es wichtig, dass alle Webanwendungen regelmäßig und vollständig gepatcht werden.