CrowdStrike、新たなポストエクスプロイトフレームワーク「IceApple」について解説 | ScanNetSecurity
2026.07.14(火)

CrowdStrike、新たなポストエクスプロイトフレームワーク「IceApple」について解説

 クラウドストライク株式会社は5月18日、新たなポストエクスプロイトフレームワーク「IceApple」に関する詳細情報をブログで発表した。

脆弱性と脅威 脅威動向

 クラウドストライク株式会社は5月18日、新たなポストエクスプロイトフレームワーク「IceApple」に関する詳細情報をブログで発表した。

 CrowdStrikeのプロアクティブな脅威ハンティングチーム Falcon OverWatchでは2021年後半に、IceAppleと呼ばれる.NETベースの高度なポストエクスプロイトフレームワークを検知、その後、様々な場所で当該フレームワークによる被害が見つかり、不正侵入先はテクノロジー分野、学術・行政機関などに及んでいるという。

 IceAppleは、アクセスを提供するのではなく、アクセス成功後のミッション達成を目的として使用されるポストエクスプロイトフレームワーク。OverWatchの調査では18のモジュールが検知されており、ディスカバリ、クレデンシャルハーベスティング、ファイルやディレクトリの削除、データ流出といった機能が含まれている。OverWatchでは、攻撃者が被害を与えた環境に繰り返し戻り、ポストエクスプロイト活動を行っていることを確認している。

 IceAppleはin-memory-onlyフレームワークを使用し、感染させたホスト上で痕跡をできるだけ残さずに、フォレンジックによる検知を回避することに重点を置いている。検知された標的型侵害の傾向は中国と関わりのある攻撃者グループの国家的な情報収集要件と符合しているが、CrowdStrike Intelligenceでは現時点で、IceAppleを特定の攻撃者に結びつけていない。

 IceAppleは現在までに、Microsoft Exchangeサーバインスタンスでのデプロイが確認されているが、あらゆるInternet Information Services(IIS)Webアプリケーションで実行できるため、全てのWebアプリにパッチを適用し、使用環境にIceAppleが侵入しないようにすることが非常に重要としている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  2. アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

    アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

  3. アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

    アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

  4. Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

    Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

  5. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

ランキングをもっと見る
PageTop