Especialistas en ciberseguridad reportaron la detección de un nuevo marco de trabajo post-exploit que permitiría el compromiso de servidores Microsoft Exchange. Identificado como IceApple, este marco fue desarrollado por actores de amenazas capaces de mantener un bajo perfil a la vez que despliegan ataques a largo plazo.
Este marco fue descubierto a finales de 2021 por un equipo especializado de CrowdStrike y recibe continuo desarrollo. Acorde a los investigadores, IceApple es desplegado después de que los hackers obtienen acceso inicial a las redes comprometidas, contando con víctimas en el mundo de la tecnología, entidades gubernamentales e instituciones académicas.
IceApple se ha implementado en instancias de Microsoft Exchange Server, pero también podría ser ejecutado en aplicaciones web de Internet Information Services (IIS). El marco está basado en .NET y cuenta con al menos 18 módulos, cada uno para una tarea específica que permitiría a los atacantes descubrir dispositivos vulnerables en una red atacada, además de facilitar el robo de credenciales e información confidencial, y eliminación de archivos.
Los expertos de CrowdStrike mencionan que la actividad de IceApple puede ser relacionada con los ataques desplegados por estados nacionales. Aunque no se ha atribuido la autoría de IceApple a ningún actor de amenazas en específico, muchos anticipan que esta herramienta fue desarrollada por China.
Por otra parte, los investigadores creen que los actores de amenazas detrás de IceApple tiene conocimiento sólido del software IIS, muestra de ello es la presencia de un módulo que aprovecha los campos no documentados, que no eran para desarrolladores de terceros: “El análisis detallado de los módulos sugiere que IceApple ha sido desarrollado por un adversario con un profundo conocimiento del funcionamiento interno del software IIS”, agregan los expertos.
Además, los módulos IceApple se ejecutan en la memoria del sistema afectado, reduciendo al mínimo su rastro de actividad. Otros esfuerzos para mantener un bajo perfil incluyen el mezclarse con el entorno comprometido mediante la creación de archivos aparentemente generados por el servidor web IIS de Microsoft.
CrowdStrike no ha podido determinar el número exacto de víctimas del ataque, aunque no descartan que esta amenaza pueda crecer en las próximas semanas. Al respecto, los investigadores recomiendan instalar las más recientes versiones de cualquiera de las aplicaciones web empleadas por organizaciones públicas y privadas, mejorando las defensas del sistema contra este marco.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.