Posté le mai 15, 2022 à 7:31
DES HACKERS EXPLOITENT UN FRAMEWORK SUR DES SERVEURS MS EXCHANGE COMPROMIS
Des chercheurs en sécurité ont découvert un nouveau framework de post-exploitation baptisé IceApple qui a été déployé sur des serveurs Microsoft Exchange à plusieurs endroits. Selon les chercheurs, IceApple est décrit comme un logiciel malveillant « hautement sophistiqué » et son développeur préfère maintenir sa couverture pendant très longtemps dans les attaques ciblées. Les outils très techniques utilisés pour diffuser le logiciel malveillant le rendent très dangereux et difficile à éviter.
Le framework est utilisé sur Microsoft Exchange et IIS
Les chercheurs de l’équipe Falcon OverWatch, qui ont découvert le logiciel malveillant, ont déclaré que la menace est toujours en cours de développement actif malgré sa puissance déjà élevée. Le logiciel malveillant a été découvert fin 2021 et a été découvert dans la nature.
Le but principal de l’attaque des hackers est d’accéder au réseau d’organisations de différents secteurs, notamment les secteurs gouvernementaux, technologiques et universitaires.
Les chercheurs ont également noté que le logiciel malveillant IceApple a été déployé sur les instances de Microsoft Exchange Server, bien qu’il soit capable de fonctionner sous les applications web d’Internet Information Services (IIS).
Il utilise le .Net Framework, qui comprend jusqu’à 18 modules, chacun effectuant une tâche spécifique qui permet à l’acteur de la menace de découvrir des machines vitales sur le réseau. Une fois la machine ciblée identifiée, le hacker peut supprimer des fichiers, voler des informations d’identification ou exfiltrer des données précieuses.
IceApple est soupçonné d’être un attaquant parrainé par l’État
Les chercheurs en sécurité ont également noté que les activités d’IceApple, telles qu’observées, s’alignent sur les activités normalement observées dans les attaques de hackers parrainés par l’État.
Bien qu’il ne soit pas certain que les hackers soient soutenus par un gouvernement ou un groupe de menaces particulier, les chercheurs affirment que les actions de cet acteur de menaces sont similaires à celles des hackers sponsorisés par la Chine. Les types d’outils utilisés, le niveau de sophistication et le type d’organisations visées sont étroitement liés à ce que font les acteurs parrainés par la Chine.
De plus, les développeurs du logiciel malveillant IceApple connaissent parfaitement le logiciel IIS, ce qui les rend très compétents et sophistiqués.
« L’analyse détaillée des modules suggère qu’IceApple a été développé par un agresseur ayant une connaissance approfondie du fonctionnement interne du logiciel IIS », ont déclaré les chercheurs.
Un bon indice est la présence d’un module qui utilise des champs non divulgués, qui n’ont pas été conçus pour des développeurs tiers.
Les acteurs de la menace prennent des mesures supplémentaires pour rester cachés
Les chercheurs en sécurité ont également souligné le fait que les hackers utilisent des procédures complexes et prennent leur temps pour rester cachés. Ils peuvent implanter le logiciel malveillant dans le système ciblé et ne pas être détectés pendant très longtemps. Cela leur donne suffisamment de temps pour voler de nombreuses données et exfiltrer autant de fichiers que possible tout en restant cachés. Ils déploient également des moyens supplémentaires pour rester cachés, notamment en se fondant dans l’environnement compromis par l’utilisation de fichiers d’assemblage qui semblent être générés par le serveur Web IIS de Microsoft.
Au départ, on peut penser qu’ils ont été générés temporairement par le serveur web IIS dans le cadre d’un processus de transfert de fichiers sources ASPC en fichiers .NET à charger par IIS. Mais à bien y regarder, ils n’ont pas été conçus au hasard et n’ont pas été chargés d’une manière typique d’IIS et de Microsoft Exchange. Leurs conceptions et leurs méthodes de chargement sont très différentes. Les chercheurs ont observé cette différence et ont trouvé d’autres caractéristiques qui les rendent spécifiquement conçus pour les acteurs de la menace.
L’équipe OverWatch de CrowdStrike indique qu’il a été possible de découvrir les activités d’IceApple en utilisant la solution de sécurité cloud de CrowdStrike. Une fois déployée, elle a déclenché une alerte au niveau du déploiement Microsoft OWA d’un nouveau client, qui était visé. Toutefois, les chercheurs ont prévenu qu’ils n’ont peut-être pas découvert tous les modules utilisés par IceAppple, car d’autres modules peuvent être impliqués.
IceApple a affecté plusieurs environnements de victimes
Les chercheurs n’ont pas précisé combien de victimes ont été touchées par le logiciel malveillant IceApple, mais la société de sécurité a déclaré avoir découvert des intrusions dans plusieurs environnements de victimes. Ils ont également noté que les développeurs pourraient améliorer le framework afin de s’adapter à toute nouvelle technologie de détection.
Cette situation est typique de tout acteur de menaces qui souhaite garder son logiciel malveillant caché dans un système affecté pendant une longue période. Dans la plupart des cas, ils privilégient le secret de leur opération par rapport à toute autre chose. En effet, il peut leur falloir beaucoup de temps pour développer un autre module de logiciel malveillant qui ne sera peut-être pas découvert facilement par les logiciels de sécurité. Les chercheurs d’OverWatch affirment que dans le cas des développeurs d’IceApple, ils ont pris leur temps pour s’assurer que leurs activités restent indétectables.
