محققان از وجود فریمورک پیچیدهای که پس از بهرهبرداری بر روی نمونههای سرور Microsoft Exchange برای انجام تسهیل شناسایی محلی و استخراج دادههای شرکتها در بخشهای فناوری، دانشگاهی و دولتی به کار گرفته میشوند، هشدار دادهاند.
شرکت امنیت سایبری CrowdStrike که این بدافزار پیچیده را در اواخر سال 2021 کشف کرد، حضور آن را در چندین شبکه و در مکانهای جغرافیایی متمایز کشف کرده است. قربانیان طیف وسیعی از بخشها از جمله فناوری، دانشگاهی و نهادهای دولتی را شامل میشوند.
با وجود اینکه زمان ساخت ماژولهای استفاده شده توسط فریمورک به می 2021 بازمی گردد، محققان برای اولین بار در اواخر سال 2021 فریمورک را در حال بارگذاری بر روی سرورهای Exchange کشف کردند.
این فریمورک مبتنی بر .NET ، که محققان آن را IceApple مینامند، شامل 18 ماژول جداگانه است که این ماژولها از طیف گستردهای از قابلیتها دارند از جمله :
جمعآوری اعتبار، حذف و فهرست کردن فایلها و دایرکتوریها و استخراج دادهها، سرقت اعتبار، جستجو در Active Directory و صدور دادههای حساس و گرفتن اعتبار OWA، بازیابی پیکربندی آداپتورهای شبکه نصبشده، بازیابی متغیرهای سرور IIS، ایجاد درخواستهای HTTP، استخراج فایلها از جمله فایلهای بزرگ و چندین فایل در یک زمان.
این ماژولها قابلیتهای بهرهبرداری (exploitation) را ارائه نمیدهند، و برای فریمورکهایی مانند IceApple دسترسی اولیه را فراهم نمیکنند، بلکه برای انجام حملات بعدی پس از نفوذ به هاست مورد نظر استفاده میشوند.
در حالی که نفوذهای مشاهده شده تا کنون شامل بارگذاری بدافزار بر روی سرورهای Microsoft Exchange است، اما IceApple میتواند تحت هر برنامهای در IIS اجرا شود.
CrowdStrike از سازمانها خواسته است که به سرعت جدیدترین وصلههای منتشر شده را برای دفاع در برابر این آسیبپذیری اعمال کنند.
شرکت امنیت سایبری CrowdStrike که این بدافزار پیچیده را در اواخر سال 2021 کشف کرد، حضور آن را در چندین شبکه و در مکانهای جغرافیایی متمایز کشف کرده است. قربانیان طیف وسیعی از بخشها از جمله فناوری، دانشگاهی و نهادهای دولتی را شامل میشوند.
با وجود اینکه زمان ساخت ماژولهای استفاده شده توسط فریمورک به می 2021 بازمی گردد، محققان برای اولین بار در اواخر سال 2021 فریمورک را در حال بارگذاری بر روی سرورهای Exchange کشف کردند.
این فریمورک مبتنی بر .NET ، که محققان آن را IceApple مینامند، شامل 18 ماژول جداگانه است که این ماژولها از طیف گستردهای از قابلیتها دارند از جمله :
جمعآوری اعتبار، حذف و فهرست کردن فایلها و دایرکتوریها و استخراج دادهها، سرقت اعتبار، جستجو در Active Directory و صدور دادههای حساس و گرفتن اعتبار OWA، بازیابی پیکربندی آداپتورهای شبکه نصبشده، بازیابی متغیرهای سرور IIS، ایجاد درخواستهای HTTP، استخراج فایلها از جمله فایلهای بزرگ و چندین فایل در یک زمان.
این ماژولها قابلیتهای بهرهبرداری (exploitation) را ارائه نمیدهند، و برای فریمورکهایی مانند IceApple دسترسی اولیه را فراهم نمیکنند، بلکه برای انجام حملات بعدی پس از نفوذ به هاست مورد نظر استفاده میشوند.
در حالی که نفوذهای مشاهده شده تا کنون شامل بارگذاری بدافزار بر روی سرورهای Microsoft Exchange است، اما IceApple میتواند تحت هر برنامهای در IIS اجرا شود.
CrowdStrike از سازمانها خواسته است که به سرعت جدیدترین وصلههای منتشر شده را برای دفاع در برابر این آسیبپذیری اعمال کنند.