شرکت CrowdStrike جزییات یک تهدید سایبری پیچیده با عنوان IceApple را منتشر کرده که پس از اجرا شدن بر روی سرورهای Exchange اقدام به اجرای امور مخرب مورد نظر مهاجمان میکند.
IceApple که CrowdStrike از آن با عنوان یک فریمورک یاد کرده مبتنی بر NET. بوده و دارای 18 ماژول مستقل است.
از جمله قابلیتهایی که این ماژولها در اختیار مهاجمان قرار میدهند میتوان به موارد زیر اشاره کرد:
- فهرست کردن پوشهها
- حذف فایلها و پوشهها
- استخراج پیکربندی تنظیمات شبکهای
- استخراج متغیرهای (Variable) سرور IIS
- برداشت اطلاعات اصالتسنجی ذخیرهشده در کلیدهای Registry
- اجرای Query برای استخراج اطلاعات مورد نیاز از Active Directory
- ضبط اطلاعات اصالتسنجی OWA
همان طور که پیداست این ماژولها فاقد قابلیتهای اکسپلویت کردن هستند. به عبارت دیگر IceApple ابزاری برای ورود اولیه به شبکه قربانی نیست. در عوض ابزاری پیشرفته است که مهاجمانی را که موفق به دستیابی به یکی از سرورهای قربانی شدهاند قادر به استخراج و سرقت اطلاعات هدف میکند.
به نظر میرسد که در نمونههای بررسیشده توسط CrowdStrike مهاجمان برای مدت طولانی و بدون جلب توجه و شناسایی شدن توسط محصولات امنیتی در شبکه قربانی حضور داشتهاند.
به گزارش شرکت رامونا پردازش نگار، تاریخ ایجاد ماژولها هر چند به یک سال قبل باز میگردد اما CrowdStrike از اواخر سال میلادی گذشته آنها را کشف و از آن زمان تحت نظر داشته است.
در نمونههای بررسیشده، IceApple از طریق اسمبلیهای NET. از قبل کامپایلشده در Application Pool سرور Exchange فراخوانی میشدند. مهاجمان از اسمبلیهای مذکور به منظور دریافت توابع بیشتر بوسیله WebShell یا اجزای آلوده IIS بهره میبردند. با این توضیح که آنها پیشتر به نحوی به سرور دسترسی پیدا کرده بودند. همچنین از روشهای مختلف تلاش کرده بودند دادههای در حال تبادل یا ذخیرهشده در این ماژولها با رمزگذاری مخفی نگاه داشته شوند.
محققان CrowdStrike معتقدند که گردانندگان IceApple دانش بسیار بالایی از نحوه کار Internet Information Services یا همان IIS دارند. این شرکت در گزارش خود تأکید کرده اگر چه IceApple را صرفاً در Application Pool سرورهای Exchange شناسایی کرده اما این فریمورک قابلیت اجرا بر روی هر برنامه تحت IIS را داراست.
CrowdStrike نامی از سازمانهایی که IceApple در آنها شناسایی شده نبرده و تنها به هدف قرار گرفتن حوزههای فناوری، دانشگاهی و دولتی توسط گردانندگان IceApple بسنده کرده است.
همچنین این شرکت بدون نام بردن از گروهی خاص، چینی بودن این مهاجمان حرفهای را با توجه به ماهیت سازمانهای قربانی محتمل دانسته است.
نشانههای آلودگی
نشانههای آلودگی IceApple و ماژولهای آن در گزارش CrowdStrike قابل دسترس است.