黑客在被黑客攻击的MS Exchange服务器上部署IceApple攻击框架

研究人员详细介绍了一份以前没有记录的报告。基于NET的漏洞后利用框架IceApple已部署在Microsoft Exchange server实例上，以便于侦察和数据过滤。

CrowdStrike在周三的一份报告中表示：“据怀疑，IceApple是一个州关系对手的作品，目前仍在积极开发中，截至2022年5月，已有18个模块在多个企业环境中使用”。

这家网络安全公司于2021晚些时候发现了这一复杂的恶意软件，并指出其存在于多个受害者网络和地理位置不同的地方。目标受害者涉及广泛的领域，包括技术、学术和政府实体。

顾名思义，攻击后工具集不用于提供初始访问，而是用于在已危害相关主机后执行后续攻击。

IceApple值得注意的是，它是一个内存框架，表明威胁行为人试图保持较低的法医足迹并逃避检测，这反过来又具有长期情报收集任务的所有特征。

虽然到目前为止观察到的入侵涉及在Microsoft Exchange服务器上加载的恶意软件，但IceApple能够在任何Internet Information Services（IIS）web应用程序下运行，这使其成为一种潜在的威胁。

该框架附带的不同模块使恶意软件能够列出和删除文件和目录、写入数据、窃取凭据、查询 Active Directory 以及导出敏感数据。在这些组件上构建时间戳可以追溯到 2021 年 5 月。

研究人员总结道：“IceApple的核心是一个后开发框架，旨在通过获取凭证和过滤数据来提高对手对目标的可见性”。

“IceApple是由一个对手开发的，他对IIS的内部工作有着详细的了解。确保所有web应用程序都得到定期和完全的修补对于防止IceApple最终出现在您的环境中至关重要”。