ابزار اکسپلویت IceApple توسعه یافته روی سرورهای Microsoft Exchange برای شناسایی و استخراج داده

محققان هشدار می‌دهند که یک چارچوب پیچیده پس از بهره‌برداری بر روی نمونه‌های سرور مایکروسافت اکسچنج برای انجام تسهیل شناسایی محلی و استخراج داده ها در شرکت‌ها در بخش‌های فناوری، دانشگاهی و دولتی، به کار گرفته شده است.
CrowdStrike در گزارشی در روز چهارشنبه گفته که : آیس‌اپل که گمان می‌رود کار یک دشمن دولتی باشد، همچنان در حال توسعه فعال ، با ۱۸ ماژول در حال استفاده در تعدادی از محیط‌های سازمانی، تا می ۲۰۲۲می باشد.
این شرکت امنیت سایبری که این بدافزار پیچیده را در اواخر سال ۲۰۲۱ کشف کرد، به حضور آن در چندین شبکه قربانی و در مکان‌های جغرافیایی متمایز اشاره کرد. قربانیان هدف طیف وسیعی از بخش‌ها، از جمله فناوری، دانشگاهی و نهادهای دولتی را شامل می‌شوند.
در حالی که زمان ساخت ماژول های استفاده شده توسط فریم ورک به می ۲۰۲۱ بازمی گردد، محققان برای اولین بار در اواخر سال ۲۰۲۱ فریم ورک را در حال بارگذاری بر روی سرورهای Exchange کشف کردند. محققان گفتند تحقیقات بیشتر نشان داد که حریف پشت چارچوب اطلاعات دقیقی از نحوه عملکرد سرویس‌های اطلاعات اینترنتی (IIS) دارد و می‌تواند هر برنامه وب IIS را هدف قرار دهد.

این چارچوب مبتنی بر دات نت، که محققان آن را IceApple می نامند، شامل ۱۸ ماژول جداگانه است که این ماژول‌ها از طیف گسترده‌ای از قابلیت‌ها دارند  از جمله :
جمع آوری اعتبار، حذف و فهرست کردن فایل ها و دایرکتوری ها و استخراج داده ها، سرقت اعتبار، جستجو در Active Directory و صدور داده‌های حساس و گرفتن اعتبار OWA، بازیابی پیکربندی آداپتورهای شبکه نصب‌شده،  بازیابی متغیرهای سرور IIS، تخلیه اعتبار ذخیره‌شده در کلیدهای رجیستری در میزبان آلوده، ایجاد درخواست های HTTP ،  استخراج "عادی" از فایل ها،  استخراج ویژه فایل ها - از جمله فایل های بزرگ و چندین فایل در یک زمان - از طریق یک شنونده HTTP .

IceApple به دلیل این واقعیت قابل توجه است که یک چارچوب در حافظه است، که نشان دهنده تلاشی از سوی عامل تهدید برای جلوگری از به جا گذاشتن ردپای در کمپانیهای هدف و فرار از تشخیص است، که به نوبه خود، همه نشانه های یک جمع آوری اطلاعات طولانی مدت را دارد.

این ماژول‌ها  قابلیت‌های بهره‌برداری  (exploitation)را ارائه نمی‌دهند، و به فریم ورکهای پس از بهره‌برداری مانند IceApple دسترسی اولیه را فراهم نمی‌کنند، بلکه برای انجام حملات بعدی پس از به خطر انداختن هاست مورد نظر استفاده می شود.
در برخی موارد ،مهاجمان،  پس از بازگشت مکرر به محیط قربانی در بازه هر ده تا چهارده روز برای اطمینان از دسترسی به طور مداوم،  از این چارچوب در حملات استفاده کرده اند.
محققان با Crowdstrike's Falcon می‌گویند: «هنگامی که مدت کوتاهی پس از دستیابی مهاجم به دسترسی اولیه مورد استفاده قرار گرفت، مشاهده شد که IceApple به سرعت در میزبان‌های متعدد برای تسهیل برداشت اعتبار از ثبت میزبان محلی و راه دور، ثبت اعتبار در سرورهای OWA، شناسایی و استخراج داده‌ها استفاده می‌شود.». این تیم سپس مهاجمان را دنبال کرده که هر روز برای ادامه فعالیت خود به شبکه ها بازگشتند."

محصولات تحت تأثیر

در حالی که نفوذهای مشاهده شده تا کنون شامل بارگذاری بدافزار بر روی سرورهای Microsoft Exchange شده است، IceApple می‌تواند تحت هر برنامه وب سرویس اطلاعات اینترنتی ( IIS ) اجرا شود و آن را به یک تهدید قوی تبدیل می‌کند.

توصیه‌های امنیتی

اطمینان از اینکه همه برنامه های کاربردی وب به طور منظم و کامل وصله شده اند برای جلوگیری از قرار گرفتن IceApple در محیط شما بسیار مهم است."
CrowdStrike از سازمان ها خواسته است که به سرعت جدیدترین وصله های برنامه وب را برای دفاع در برابر آیس اپل اعمال کنند.

منبع خبر: https://cert.ir/news/13362