CrowdStrike、新たなポストエクスプロイトフレームワーク「IceApple」について解説 | ScanNetSecurity
2024.03.19(火)

CrowdStrike、新たなポストエクスプロイトフレームワーク「IceApple」について解説

 クラウドストライク株式会社は5月18日、新たなポストエクスプロイトフレームワーク「IceApple」に関する詳細情報をブログで発表した。

脆弱性と脅威 脅威動向

 クラウドストライク株式会社は5月18日、新たなポストエクスプロイトフレームワーク「IceApple」に関する詳細情報をブログで発表した。

 CrowdStrikeのプロアクティブな脅威ハンティングチーム Falcon OverWatchでは2021年後半に、IceAppleと呼ばれる.NETベースの高度なポストエクスプロイトフレームワークを検知、その後、様々な場所で当該フレームワークによる被害が見つかり、不正侵入先はテクノロジー分野、学術・行政機関などに及んでいるという。

 IceAppleは、アクセスを提供するのではなく、アクセス成功後のミッション達成を目的として使用されるポストエクスプロイトフレームワーク。OverWatchの調査では18のモジュールが検知されており、ディスカバリ、クレデンシャルハーベスティング、ファイルやディレクトリの削除、データ流出といった機能が含まれている。OverWatchでは、攻撃者が被害を与えた環境に繰り返し戻り、ポストエクスプロイト活動を行っていることを確認している。

 IceAppleはin-memory-onlyフレームワークを使用し、感染させたホスト上で痕跡をできるだけ残さずに、フォレンジックによる検知を回避することに重点を置いている。検知された標的型侵害の傾向は中国と関わりのある攻撃者グループの国家的な情報収集要件と符合しているが、CrowdStrike Intelligenceでは現時点で、IceAppleを特定の攻撃者に結びつけていない。

 IceAppleは現在までに、Microsoft Exchangeサーバインスタンスでのデプロイが確認されているが、あらゆるInternet Information Services(IIS)Webアプリケーションで実行できるため、全てのWebアプリにパッチを適用し、使用環境にIceAppleが侵入しないようにすることが非常に重要としている。

《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×