聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
本周三,CrowdStrike 公司发布报告指出,“IceApple 疑似受国家支持,目前仍在积极开发阶段,截止到2022年5月,已有18个模块用于多种企业环境中。”
CrowdStrike 公司在2021年年末发现了这款复杂的恶意软件,它位于多个受害者网络中并分布在不同的地理区域。目标受害者涵盖多个行业,包括技术、学术和政府实体。
正如“利用后工具集”的名称所示,它并非用于提供初始访问权限,而是用于在已经攻陷主机的情况下执行下一步攻击。
IceApple 值得关注的地方在于,它是一个内存中的框架,说明威胁行动者试图在维护较低的取证指纹并逃避检测,而反过来它又具有长期情报收集任务的所有特征。
虽然截至目前所观察到的入侵活动包括该恶意软件被加载到微软 Exchange Servers 上等,但 IceApple 能够在任何互联网信息服务 (IIS) web 应用程序下运行,使其成为一种强大的威胁。
IceApple 包含的不同模块使其能够列出并删除文件和目录、写数据、窃取凭据、查询活动目录并导出敏感数据。对这些组件的时间戳构建于2021年5月。
研究人员总结称,“从本质上来讲,IceApple 是一个利用后框架,专注于通过获得凭据和提取数据来提高攻击者对目标的可见性。开发IceApple 的人员对IIS的内部原理了解详尽。为避免环境遭攻击,应确保经常并完全修复所有的web应用。”
微软将本地版Exchange、SharePoint和Skype 纳入漏洞奖励计划
微软 Exchange Autodiscover 协议存bug,数十万域凭据可遭泄露
https://thehackernews.com/2022/05/hackers-deploy-iceapple-exploitation.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~