クラウドストライク株式会社は5月18日、新たなポストエクスプロイトフレームワーク「IceApple」に関する詳細情報をブログで発表した。
CrowdStrikeのプロアクティブな脅威ハンティングチーム Falcon OverWatchでは2021年後半に、IceAppleと呼ばれる.NETベースの高度なポストエクスプロイトフレームワークを検知、その後、様々な場所で当該フレームワークによる被害が見つかり、不正侵入先はテクノロジー分野、学術・行政機関などに及んでいるという。
IceAppleは、アクセスを提供するのではなく、アクセス成功後のミッション達成を目的として使用されるポストエクスプロイトフレームワーク。OverWatchの調査では18のモジュールが検知されており、ディスカバリ、クレデンシャルハーベスティング、ファイルやディレクトリの削除、データ流出といった機能が含まれている。OverWatchでは、攻撃者が被害を与えた環境に繰り返し戻り、ポストエクスプロイト活動を行っていることを確認している。
IceAppleはin-memory-onlyフレームワークを使用し、感染させたホスト上で痕跡をできるだけ残さずに、フォレンジックによる検知を回避することに重点を置いている。検知された標的型侵害の傾向は中国と関わりのある攻撃者グループの国家的な情報収集要件と符合しているが、CrowdStrike Intelligenceでは現時点で、IceAppleを特定の攻撃者に結びつけていない。
IceAppleは現在までに、Microsoft Exchangeサーバインスタンスでのデプロイが確認されているが、あらゆるInternet Information Services(IIS)Webアプリケーションで実行できるため、全てのWebアプリにパッチを適用し、使用環境にIceAppleが侵入しないようにすることが非常に重要としている。
