CrowdStrike ha detallado un nuevo framework de post-explotación que podría ser obra de un actor de amenazas patrocinado por el estado, uno probablemente vinculado a China.
Apodado IceApple y dirigido a los servidores Microsoft Exchange, el framework es una herramienta de memoria diseñada para evadir la detección y proporcionar acceso a largo plazo a los entornos comprometidos. El framework también puede ejecutarse en el software de servidor web Internet Information Services (IIS).
Los investigadores de CrowdStrike han estado rastreando IceApple desde finales de 2021, y los ataques observados abarcan los sectores tecnológico, académico y gubernamental en múltiples geografías. La actividad observada, dicen, se alinea con los intereses de recopilación de información de China.
IceApple, señalan los investigadores, es un framework altamente sofisticado de post-explotación de IIS centrado en aumentar la visibilidad de un adversario del entorno objetivo, sin ofrecer capacidades de explotación o movimiento lateral.
Hasta la fecha, los investigadores han identificado 18 módulos diferentes de IceApple que ofrecen diversos tipos de funcionalidad, y también han observado que el framework está en desarrollo activo y que los módulos se actualizan constantemente.
Los módulos soportan el listado de directorios, la escritura en archivos, la eliminación de archivos y directorios, la recuperación de detalles de configuración del adaptador de red, la realización de peticiones HTTP, la recuperación de variables del servidor IIS, el volcado de credenciales, la ejecución de consultas de Active Directory, la exfiltración de archivos y la captura de credenciales OWA.
“El análisis detallado de los módulos sugiere que IceApple ha sido desarrollado por un adversario con un profundo conocimiento del funcionamiento interno del software IIS. Incluso se descubrió que uno de los módulos aprovechaba campos no documentados que no están destinados a ser utilizados por desarrolladores de terceros”, señalan los investigadores.
CrowdStrike observó que en algunos casos, poco después del compromiso inicial del entorno, IceApple se desplegó en múltiples hosts con fines de reconocimiento, recolección de credenciales y exfiltración de datos.
Los investigadores también observaron que los atacantes regresaban diariamente a los entornos comprometidos para continuar con sus actividades. Como parte de las operaciones de larga duración identificadas, el adversario regresaba cada 10 a 14 días, utilizando IceApple para la recolección de credenciales y el reconocimiento.
Mr. X
Exploitables es una comunidad de ciberseguridad y tecnología nacida en Málaga. Queremos compartir conocimientos de manera desinteresada.
