ابزار اکسپلویت IceApple توسعه یافته روی سرورهای Microsoft Exchange برای شناسایی و استخراج داده

محققان از وجود فریم‌ورک پیچیده که پس از بهره‌برداری بر روی نمونه‌های سرور مایکروسافت اکسچنج برای انجام تسهیل شناسایی محلی و استخراج داده ها در شرکت‌ها در بخش‌های فناوری، دانشگاهی و دولتی، به کار گرفته ‌می‌شوند، هشدار داده‌اند. شرکت امنیت سایبری CrowdStrike که این بدافزار پیچیده را در اواخر سال 2021 کشف کرد، حضور آن را در چندین شبکه قربانی و در مکان‌های جغرافیایی متمایز اشاره کرده است. قربانیان هدف طیف وسیعی از بخش‌ها، از جمله فناوری، دانشگاهی و نهادهای دولتی را شامل می‌شوند.
در حالی که زمان ساخت ماژول های استفاده شده توسط فریم‌ورک به می 2021 بازمی گردد، محققان برای اولین بار در اواخر سال 2021 فریم ورک را در حال بارگذاری بر روی سرورهای Exchange کشف کردند. این فریم‌ورک مبتنی بر دات نت، که محققان آن را IceApple می‌نامند، شامل 18 ماژول جداگانه است که این ماژول‌ها از طیف گسترده‌ای از قابلیت‌ها دارند از جمله :
جمع آوری اعتبار، حذف و فهرست کردن فایل‌ها و دایرکتوری‌ها و استخراج داده‌ها، سرقت اعتبار، جستجو در Active Directory و صدور داده‌های حساس و گرفتن اعتبار OWA، بازیابی پیکربندی آداپتورهای شبکه نصب‌شده، بازیابی متغیرهای سرور IIS، تخلیه اعتبار ذخیره‌شده در کلیدهای رجیستری در میزبان آلوده، ایجاد درخواست های HTTP، استخراج "عادی" از فایل ها، استخراج ویژه فایل ها - از جمله فایل های بزرگ و چندین فایل در یک زمان - از طریق یک شنونده HTTP .

این ماژول‌ها قابلیت‌های بهره‌برداری (exploitation)را ارائه نمی‌دهند، و به فریم ورکهای پس از بهره‌برداری مانند IceApple دسترسی اولیه را فراهم نمی‌کنند، بلکه برای انجام حملات بعدی پس از به خطر انداختن هاست مورد نظر استفاده می شود.
در برخی موارد، مهاجمان، پس از بازگشت مکرر به محیط قربانی در بازه هر ده تا چهارده روز برای اطمینان از دسترسی به طور مداوم، از این چارچوب در حملات استفاده کرده اند. محققان با Crowdstrike's Falcon می‌گویند: «هنگامی که مدت کوتاهی پس از دستیابی مهاجم به دسترسی اولیه مورد استفاده قرار گرفت، مشاهده شد که IceApple به سرعت در میزبان‌های متعدد برای تسهیل برداشت اعتبار از ثبت میزبان محلی و راه دور، ثبت اعتبار در سرورهای OWA، شناسایی و استخراج داده‌ها استفاده می‌شود.».

در حالی که نفوذهای مشاهده شده تا کنون شامل بارگذاری بدافزار بر روی سرورهای Microsoft Exchange است، IceApple می‌تواند تحت هر برنامه وب سرویس اطلاعات اینترنتی ( IIS ) اجرا شود و آن را به یک تهدید قوی تبدیل می‌کند.

اطمینان از اینکه همه برنامه های کاربردی وب به طور منظم و کامل وصله شده اند برای جلوگیری از قرار گرفتن IceApple در محیط شما بسیار مهم است." CrowdStrike از سازمان ها خواسته است که به سرعت جدیدترین وصله های برنامه وب را برای دفاع در برابر آیس اپل اعمال کنند.

منبع:

https://www.scmagazine.com/brief/breach/microsoft-exchange-servers-attacked-with-iceapple-exploit-toolset