Un probable actor de amenazas patrocinado por el estado con sede en China ha estado implementando un sofisticado marco de malware posterior a la explotación en los servidores de Microsoft Exchange en organizaciones de los sectores tecnológico, académico y gubernamental en múltiples regiones desde al menos el otoño pasado.
El objetivo de la campaña parece ser la recopilación de inteligencia y está vinculado a una campaña específica patrocinada por el estado, según los investigadores de CrowdStrike. El proveedor de seguridad está rastreando el marco como "IceApple" y lo describió en un informe esta semana como compuesto por 18 módulos separados con una variedad de funciones que incluyen recolección de credenciales, eliminación de archivos y directorios y exfiltración de datos.
El análisis de CrowdStrike muestra que los módulos están diseñados para ejecutarse solo en la memoria para reducir la huella del malware en un sistema infectado, una táctica que los adversarios suelen emplear en campañas de larga duración. El marco también tiene varias otras técnicas de detección y evasión que sugieren que el adversario tiene un conocimiento profundo de las aplicaciones web de Internet Information Services (IIS). Por ejemplo, CrowdStrike observó que uno de los módulos aprovechaba campos no documentados en el software IIS que no están destinados a ser utilizados por desarrolladores externos.
En el transcurso de su investigación de la amenaza, los investigadores de CrowdStrike vieron evidencia de que los adversarios regresaban repetidamente a los sistemas comprometidos y usaban IceApple para ejecutar actividades posteriores a la explotación.
Param Singh, vicepresidente de los servicios de detección de amenazas Falcon OverWatch de CrowdStrike, dice que IceApple se diferencia de otros conjuntos de herramientas posteriores a la explotación en que se encuentra en constante desarrollo, incluso cuando se implementa y utiliza activamente. “Si bien se ha observado que IceApple se implementa en instancias de Microsoft Exchange Server, en realidad es capaz de ejecutarse en cualquier aplicación web de IIS”, dice Singh.
Enlace Microsoft .NET
CrowdStrike descubrió IceApple mientras desarrollaba detecciones de actividad maliciosa que involucraba las denominadas cargas de ensamblaje .NET reflectantes. MITRE define carga de código reflexivo
como una técnica que utilizan los actores de amenazas para ocultar cargas maliciosas. Implica asignar y ejecutar cargas útiles directamente en la memoria de un proceso en ejecución. Las cargas útiles cargadas reflexivamente pueden incluir archivos binarios compilados, archivos anónimos o simplemente fragmentos de ejecutables sin archivos, según MITRE. La carga de código reflexivo es como la inyección de proceso, excepto que el código se carga en la propia memoria de un proceso en lugar de en la de otro proceso, señaló MITRE.
".Los ensamblados NET forman la piedra angular del marco .NET de Microsoft”, dice Singh. “Un ensamblaje puede funcionar como una aplicación independiente en forma de archivo EXE o como una biblioteca para usar en otras aplicaciones como DLL”.
CrowdStrike descubrió IceApple a fines de 2021 cuando se activó un mecanismo de detección que estaba desarrollando para cargas de ensamblados .NET reflectantes en un Exchange Server en la ubicación de un cliente. La investigación de la alerta por parte de la empresa mostró anomalías en varios archivos ensamblados de .NET, lo que a su vez condujo al descubrimiento del marco IceApple en el sistema.
Campaña Activa de Ciberataques
El diseño modular de IceApple le dio al adversario una manera de construir cada pieza de funcionalidad en su propio ensamblado .NET y luego cargar reflexivamente cada función solo según sea necesario. “Si no se detecta, esta técnica puede dejar a los defensores de la seguridad completamente ciegos ante este tipo de ataques”, dice Singh. “Por ejemplo, los defensores verán una aplicación legítima como un servidor web que se conecta a una IP sospechosa; sin embargo, no tienen forma de saber qué código está activando esa conexión”.
Singh dice que CrowdStrike descubrió que IceApple estaba usando un par de tácticas únicas para evadir la detección. Una de ellas es usar campos no documentados en IIS. La otra es integrarse en el entorno mediante el uso de nombres de archivo de ensamblado que parecen ser archivos temporales normales de IIS. “En una inspección más cercana, los nombres de los archivos no se generan aleatoriamente, como se esperaría, y la forma en que se cargan los ensamblajes se sale de lo normal para Microsoft Exchange e IIS”, dice Singh.
El marco IceApple está diseñado para filtrar datos de varias maneras. Por ejemplo, uno de los módulos, conocido como el módulo File Exfiltrator, permite robar un solo archivo del host de destino. Otro módulo, llamado exfiltrador de archivos múltiples, permite cifrar, comprimir y filtrar múltiples archivos, según Singh.
“Esta campaña actualmente está activa y es efectiva”, advierte. “Pero en este momento se desconoce cuántas organizaciones pueden haber sido afectadas por esta campaña más allá de donde CrowdStrike tiene visibilidad y aquellas que podrían haber sido afectadas indirectamente a través de la cadena de suministro u otros métodos”.
