Tin tặc triển khai framework thu thập thông tin IceApple trên các máy chủ MS Exchange bị xâm phạm

Các nhà nghiên cứu đã chia sẻ thông tin về một framework post-exploitation mới có tên là IceApple đã được triển khai trên các máy chủ Microsoft Exchange cho phép kẻ tấn công thu thập và lấy cắp dữ liệu.

CrowdStrike cho biết: “IceApple vẫn đang được phát triển, với 18 mô-đun đã được phát hiện trên một số môi trường doanh nghiệp, kể từ tháng 5 năm 2022”.

Phần mềm độc hại này được phát hiện vào cuối năm 2021 ở các quốc gia khác nhau. Các nạn nhân bị nhắm mục tiêu thuộc nhiều lĩnh vực, bao gồm các tổ chức công nghệ, học thuật và chính phủ.

Một công cụ post-exploitation không được sử dụng để cung cấp quyền truy cập ban đầu, mà được sử dụng để thực hiện các cuộc tấn công tiếp theo sau khi đã xâm nhập vào các máy mục tiêu.

Đáng chú ý, IceApple là một framework trong bộ nhớ, điều này cho thấy nỗ lực duy trì hoạt động và trốn tránh bị phát hiện của nó, có tất cả các dấu hiệu của một phần mềm gián điệp thu thập thông tin.

Mặc dù các cuộc xâm nhập liên quan đến phần mềm độc hại đều được phát hiện trên máy chủ Microsoft Exchange, nhưng IceApple có khả năng chạy trong bất kỳ ứng dụng web Internet Information Services (IIS) nào, điều này khiến nó trở thành một mối đe dọa lớn.

Các mô-đun trong framework độc hại cho phép liệt kê và xóa các tệp/thư mục, ghi dữ liệu, truy vấn Active Directory, lấy cắp thông tin đăng nhập và dữ liệu nhạy cảm khác.

Các nhà nghiên cứu cho biết: "IceApple là một framework hậu khai thác nhằm làm tăng khả năng hiểu rõ các mục tiêu thông qua việc thu thập thông tin xác thực và các dữ liệu khác".

"Đảm bảo tất cả các ứng dụng web được cập nhật bản vá thường xuyên và đầy đủ là việc rất quan trọng để ngăn chặn IceApple xâm nhập vào môi trường của bạn."

Nguồn: thehackernews.com.