Exchange و برنامه‌های مبتنی بر IIS، هدف IceApple

شرکت CrowdStrike جزییات یک تهدید سایبری پیچیده با عنوان IceApple را منتشر کرده که پس از اجرا شدن بر روی سرورهای Exchange اقدام به اجرای امور مخرب مورد نظر مهاجمان می‌کند.

IceApple که CrowdStrike از آن با عنوان یک فریم‌ورک یاد کرده مبتنی بر NET. بوده و دارای 18 ماژول مستقل است.

از جمله قابلیت‌هایی که این ماژول‌ها در اختیار مهاجمان قرار می‌دهند می‌توان به موارد زیر اشاره کرد:

• فهرست کردن پوشه‌ها
• حذف فایل‌ها و پوشه‌ها
• استخراج پیکربندی تنظیمات شبکه‌ای
• استخراج متغیرهای (Variable) سرور IIS
• برداشت اطلاعات اصالت‌سنجی ذخیره‌شده در کلیدهای Registry
• اجرای Query برای استخراج اطلاعات مورد نیاز از Active Directory
• ضبط اطلاعات اصالت‌سنجی OWA

همان طور که پیداست این ماژول‌ها فاقد قابلیت‌های اکسپلویت کردن هستند. به عبارت دیگر IceApple ابزاری برای ورود اولیه به شبکه قربانی نیست. در عوض ابزاری پیشرفته است که مهاجمانی را که موفق به دستیابی به یکی از سرورهای قربانی شده‌اند قادر به استخراج و سرقت اطلاعات هدف می‌کند.

به نظر می‌رسد که در نمونه‌های بررسی‌شده توسط CrowdStrike مهاجمان برای مدت طولانی و بدون جلب توجه و شناسایی شدن توسط محصولات امنیتی در شبکه قربانی حضور داشته‌اند.

به گزارش شرکت رامونا پردازش نگار، تاریخ ایجاد ماژول‌ها هر چند به یک سال قبل باز می‌گردد اما CrowdStrike از اواخر سال میلادی گذشته آنها را کشف و از آن زمان تحت نظر داشته است.

در نمونه‌های بررسی‌شده، IceApple از طریق اسمبلی‌های NET. از قبل کامپایل‌شده در Application Pool سرور Exchange فراخوانی می‌شدند. مهاجمان از اسمبلی‌های مذکور به منظور دریافت توابع بیشتر بوسیله WebShell یا اجزای آلوده IIS بهره می‌بردند. با این توضیح که آنها پیش‌تر به نحوی به سرور دسترسی پیدا کرده بودند. همچنین از روش‌های مختلف تلاش کرده بودند داده‌های در حال تبادل یا ذخیره‌شده در این ماژول‌ها با رمزگذاری مخفی نگاه داشته شوند.

محققان CrowdStrike معتقدند که گردانندگان IceApple دانش بسیار بالایی از نحوه کار Internet Information Services یا همان IIS دارند. این شرکت در گزارش خود تأکید کرده اگر چه IceApple را صرفاً در Application Pool سرورهای Exchange شناسایی کرده اما این فریم‌ورک قابلیت اجرا بر روی هر برنامه تحت IIS را داراست.

CrowdStrike نامی از سازمان‌هایی که IceApple در آنها شناسایی شده نبرده و تنها به هدف قرار گرفتن حوزه‌های فناوری، دانشگاهی و دولتی توسط گردانندگان IceApple بسنده کرده است.

همچنین این شرکت بدون نام بردن از گروهی خاص، چینی بودن این مهاجمان حرفه‌ای را با توجه به ماهیت سازمان‌های قربانی محتمل دانسته است.

نشانه‌های آلودگی

نشانه‌های آلودگی IceApple و ماژول‌های آن در گزارش CrowdStrike قابل دسترس است.