CrowdStrike、新たなポストエクスプロイトフレームワーク「IceApple」について解説 | ScanNetSecurity
2024.03.29(金)

CrowdStrike、新たなポストエクスプロイトフレームワーク「IceApple」について解説

 クラウドストライク株式会社は5月18日、新たなポストエクスプロイトフレームワーク「IceApple」に関する詳細情報をブログで発表した。

脆弱性と脅威 脅威動向

 クラウドストライク株式会社は5月18日、新たなポストエクスプロイトフレームワーク「IceApple」に関する詳細情報をブログで発表した。

 CrowdStrikeのプロアクティブな脅威ハンティングチーム Falcon OverWatchでは2021年後半に、IceAppleと呼ばれる.NETベースの高度なポストエクスプロイトフレームワークを検知、その後、様々な場所で当該フレームワークによる被害が見つかり、不正侵入先はテクノロジー分野、学術・行政機関などに及んでいるという。

 IceAppleは、アクセスを提供するのではなく、アクセス成功後のミッション達成を目的として使用されるポストエクスプロイトフレームワーク。OverWatchの調査では18のモジュールが検知されており、ディスカバリ、クレデンシャルハーベスティング、ファイルやディレクトリの削除、データ流出といった機能が含まれている。OverWatchでは、攻撃者が被害を与えた環境に繰り返し戻り、ポストエクスプロイト活動を行っていることを確認している。

 IceAppleはin-memory-onlyフレームワークを使用し、感染させたホスト上で痕跡をできるだけ残さずに、フォレンジックによる検知を回避することに重点を置いている。検知された標的型侵害の傾向は中国と関わりのある攻撃者グループの国家的な情報収集要件と符合しているが、CrowdStrike Intelligenceでは現時点で、IceAppleを特定の攻撃者に結びつけていない。

 IceAppleは現在までに、Microsoft Exchangeサーバインスタンスでのデプロイが確認されているが、あらゆるInternet Information Services(IIS)Webアプリケーションで実行できるため、全てのWebアプリにパッチを適用し、使用環境にIceAppleが侵入しないようにすることが非常に重要としている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  7. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る