اکسپلویت سرورهای EXCHANGE برای استخراج داده

محققان از وجود فریم‌ورک پیچیده که پس از بهره‌برداری بر روی نمونه‌های سرور مایکروسافت اکسچنج برای انجام تسهیل شناسایی محلی و استخراج داده‌ها در شرکت‌ها در بخش‌های فناوری، دانشگاهی و دولتی، به کار گرفته ‌می‌شوند، هشدار داده‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان درباره توسعه ابزار اکسپلویت ICEAPPLE برای شناسایی و استخراج داده روی سرورهای MICROSOFT EXCHANGE هشدار دادند. شرکت امنیت سایبری CrowdStrike که این بدافزار پیچیده را در اواخر سال ۲۰۲۱ کشف کرد، حضور آن را در چندین شبکه قربانی و در مکان‌های جغرافیایی متمایز اشاره کرده است. قربانیان هدف طیف وسیعی از بخش‌ها، از جمله فناوری، دانشگاهی و نهادهای دولتی را شامل می‌شوند.

در حالی که زمان ساخت ماژول های استفاده شده توسط فریم‌ورک به می ۲۰۲۱ بازمی گردد، محققان برای اولین بار در اواخر سال ۲۰۲۱ فریم ورک را در حال بارگذاری بر روی سرورهای Exchange کشف کردند. این فریم‌ورک مبتنی بر دات نت، که محققان آن را IceApple می‌نامند، شامل ۱۸ ماژول جداگانه است که این ماژول‌ها از طیف گسترده‌ای از قابلیت‌ها دارند ازجمله جمع‌آوری اعتبار، حذف و فهرست کردن فایل‌ها و دایرکتوری‌ها و استخراج داده‌ها، سرقت اعتبار، جستجو در Active Directory و صدور داده‌های حساس و گرفتن اعتبار OWA، بازیابی پیکربندی آداپتورهای شبکه نصب‌شده، بازیابی متغیرهای سرور IIS، تخلیه اعتبار ذخیره‌شده در کلیدهای رجیستری در میزبان آلوده، ایجاد درخواست های HTTP، استخراج "عادی" از فایل ها، استخراج ویژه فایل ها - ازجمله فایل‌های بزرگ و چندین فایل در یک زمان - از طریق یک شنونده HTTP .

این ماژول‌ها قابلیت‌های بهره‌برداری (exploitation)را ارائه نمی‌دهندو به فریمو‌رک‌های پس از بهره‌برداری مانند IceApple دسترسی اولیه را فراهم نمی‌کنند، بلکه برای انجام حملات بعدی پس از به خطر انداختن هاست مورد نظر استفاده می‌شود.

در حالی که نفوذهای مشاهده شده تا کنون شامل بارگذاری بدافزار بر روی سرورهای Microsoft Exchange است، IceApple می‌تواند تحت هر برنامه وب سرویس اطلاعات اینترنتی اجرا شود و آن را به یک تهدید قوی تبدیل می‌کند.

اطمینان از اینکه همه برنامه‌های کاربردی وب به طور منظم و کامل وصله شده‌اند برای جلوگیری از قرار گرفتن IceApple در محیط شما بسیار مهم است. CrowdStrike از سازمان‌ها خواسته است که به سرعت جدیدترین وصله‌های برنامه وب را برای دفاع در برابر آیس اپل اعمال کنند.