Хакеры внедряют в Microsoft Exchange инструмент постэксплуатации IceApple

Хакеры внедряют в Microsoft Exchange инструмент постэксплуатации IceApple

Хакеры внедряют в Microsoft Exchange инструмент постэксплуатации IceApple

Компания CrowdStrike опубликовала результаты анализа ранее недокументированного NET-фреймворка IceApple, облегчающего разведку и вывод данных после проникновения в корпоративную сеть. Новый инструмент постэксплуатации пока найден только на взломанных серверах Microsoft Exchange, хотя он способен работать в контексте любого веб-приложения для IIS.

Первые подозрительные загрузки, ассоциируемые с IceApple, эксперты обнаружили в конце прошлого года. Как оказалось, неизвестные, хорошо финансируемые хакеры (в CrowdStrike склонны приписывать им прокитайскую ориентацию) развернули вредоносный софт в сетях ряда компаний в разных странах — в основном технологических, а также в научно-образовательных и правительственных учреждениях.

Исследование показало, что новый сложный инструмент атаки создан со знанием внутренних механизмов IIS и все еще активно развивается. На настоящий момент удалось выявить 18 модулей IceApple разного назначения; самые ранние сборки датируются маем 2021 года.

Новоявленный вредонос умело скрывает свое присутствие в системе — работает только в памяти и пытается выдать создаваемые файлы сборки за свидетельства работы взломанного IIS-сервера Microsoft (такие, как временные файлы ASP.NET). После установки IceApple авторы атаки возвращаются на скомпрометированный узел каждые 10-14 дней — по всей видимости, для проверки сохранности доступа.

Многочисленные компоненты IceApple позволяют злоумышленникам выполнять различные задачи для развития атаки — составлять списки директорий, записывать и удалять файлы, воровать учетные данные OWA, посылать запросы к Active Directory, выводить на свой сервер конфиденциальную информацию. Ни один из найденных модулей не обеспечивал эксплойт уязвимостей или горизонтальное перемещение по сети.

 

Для защиты от подобных угроз CrowdStrike рекомендует регулярно проверять состояние веб-приложений, своевременно применять патчи и использовать эффективные средства безопасности, дополняя их проактивным поиском следов вредоносной деятельности (threat hunting).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Взлом через графику: Google закрыла опасную дыру в Chrome — обновляйтесь

Google выпустила срочное обновление для десктопной версии Chrome — 138.0.7204.157/.158. В нём закрыто сразу шесть уязвимостей, одна из которых уже активно используется злоумышленниками. Обновление постепенно распространяется на Windows, macOS и Linux. Но лучше не ждать — проверьте наличие апдейта вручную и перезапустите браузер.

Самая опасная проблема — CVE-2025-6558, уязвимость в компонентах ANGLE и GPU. Она связана с тем, как Chrome обрабатывает недоверенные данные, и может позволить атакующему выполнить вредоносный код на устройстве.

Её обнаружили специалисты из Google TAG — внутренней команды, отслеживающей атаки, связанные с госструктурами и кибершпионажем. Google прямо заявила: эта уязвимость уже используется в реальных атаках.

Для справки: ANGLE — это компонент, который помогает Chrome работать с графикой и переводит WebGL-запросы в язык, понятный системе. Если в нём есть дыра, это может привести к серьёзным последствиям.

Кроме CVE-2025-6558, в обновлении закрыты и другие важные баги:

  • CVE-2025-7656 — переполнение целого числа в движке JavaScript (V8). Уязвимость может привести к повреждению памяти и запуску произвольного кода. За неё исследователь получил $7 000.
  • CVE-2025-7657 — ошибка use-after-free в WebRTC (технология для звонков, видео и обмена файлами прямо через браузер). Может вызвать сбой или удалённый взлом.

Если вы пользуетесь Chrome — обновитесь как можно скорее. Обычно браузер делает это сам в фоне, но лучше проверить вручную: Настройки О браузере Chrome Обновить. После обновления перезапустите браузер.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru