محققان از وجود فریمورک پیچیده که پس از بهرهبرداری بر روی نمونههای سرور مایکروسافت اکسچنج برای انجام تسهیل شناسایی محلی و استخراج دادهها در شرکتها در بخشهای فناوری، دانشگاهی و دولتی، به کار گرفته میشوند، هشدار دادهاند.
منبع : مرکز ماهر
محققان از وجود فریمورک پیچیده که پس از بهرهبرداری بر روی نمونههای سرور مایکروسافت اکسچنج برای انجام تسهیل شناسایی محلی و استخراج دادهها در شرکتها در بخشهای فناوری، دانشگاهی و دولتی، به کار گرفته میشوند، هشدار دادهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان درباره توسعه ابزار اکسپلویت ICEAPPLE برای شناسایی و استخراج داده روی سرورهای MICROSOFT EXCHANGE هشدار دادند. شرکت امنیت سایبری CrowdStrike که این بدافزار پیچیده را در اواخر سال ۲۰۲۱ کشف کرد، حضور آن را در چندین شبکه قربانی و در مکانهای جغرافیایی متمایز اشاره کرده است. قربانیان هدف طیف وسیعی از بخشها، از جمله فناوری، دانشگاهی و نهادهای دولتی را شامل میشوند.
در حالی که زمان ساخت ماژول های استفاده شده توسط فریمورک به می ۲۰۲۱ بازمی گردد، محققان برای اولین بار در اواخر سال ۲۰۲۱ فریم ورک را در حال بارگذاری بر روی سرورهای Exchange کشف کردند. این فریمورک مبتنی بر دات نت، که محققان آن را IceApple مینامند، شامل ۱۸ ماژول جداگانه است که این ماژولها از طیف گستردهای از قابلیتها دارند ازجمله جمعآوری اعتبار، حذف و فهرست کردن فایلها و دایرکتوریها و استخراج دادهها، سرقت اعتبار، جستجو در Active Directory و صدور دادههای حساس و گرفتن اعتبار OWA، بازیابی پیکربندی آداپتورهای شبکه نصبشده، بازیابی متغیرهای سرور IIS، تخلیه اعتبار ذخیرهشده در کلیدهای رجیستری در میزبان آلوده، ایجاد درخواست های HTTP، استخراج "عادی" از فایل ها، استخراج ویژه فایل ها - ازجمله فایلهای بزرگ و چندین فایل در یک زمان - از طریق یک شنونده HTTP .
این ماژولها قابلیتهای بهرهبرداری (exploitation)را ارائه نمیدهندو به فریمورکهای پس از بهرهبرداری مانند IceApple دسترسی اولیه را فراهم نمیکنند، بلکه برای انجام حملات بعدی پس از به خطر انداختن هاست مورد نظر استفاده میشود.
در حالی که نفوذهای مشاهده شده تا کنون شامل بارگذاری بدافزار بر روی سرورهای Microsoft Exchange است، IceApple میتواند تحت هر برنامه وب سرویس اطلاعات اینترنتی اجرا شود و آن را به یک تهدید قوی تبدیل میکند.
اطمینان از اینکه همه برنامههای کاربردی وب به طور منظم و کامل وصله شدهاند برای جلوگیری از قرار گرفتن IceApple در محیط شما بسیار مهم است. CrowdStrike از سازمانها خواسته است که به سرعت جدیدترین وصلههای برنامه وب را برای دفاع در برابر آیس اپل اعمال کنند.