Share
Beitragsbild zu Research paper: IceApple – A Novel Internet Information Services (IIS) Post-Exploitation Framework

Research paper: IceApple – A Novel Internet Information Services (IIS) Post-Exploitation Framework

12. Mai 2022

CrowdStrike’s Falcon OverWatch proactive threat hunting has uncovered a sophisticated .NET-based post-exploitation framework, dubbed IceApple. The framework has been observed being deployed on Microsoft Exchange server instances, but it is capable of running under any Internet Information Services (IIS) web application.

Suspected to be the work of a state-nexus adversary, IceApple remains under active development, with 18 modules observed in use across a number of enterprise environments, as of May 2022.

This research paper, “IceApple: A Novel Internet Information Services (IIS) Post-Exploitation Framework,” provides:

  • Insights into how proactive threat hunting uncovered IceApple
  • Information on how IceApple is being used in the wild
  • A deep dive into the functionality of all currently discovered modules of this evolving framework as well as information about how these modules interact
Research paper – Download here.

 

Fachartikel

Featured image for “Phishing über LiveChat: Wie Angreifer SaaS-Plattformen für Datendiebstahl nutzen”

Phishing über LiveChat: Wie Angreifer SaaS-Plattformen für Datendiebstahl nutzen

Featured image for “XWorm 7.1 und Remcos RAT: Angreifer setzen auf dateilose Techniken und Windows-Bordmittel”

XWorm 7.1 und Remcos RAT: Angreifer setzen auf dateilose Techniken und Windows-Bordmittel

Featured image for “KI im Cyberkonflikt: Warum Verteidiger die Nase vorn haben”

KI im Cyberkonflikt: Warum Verteidiger die Nase vorn haben

Featured image for “KadNap: Wie ein neues Botnetz tausende Asus-Router als Proxy-Knoten missbraucht”

KadNap: Wie ein neues Botnetz tausende Asus-Router als Proxy-Knoten missbraucht

Featured image for “ClickFix-Variante nutzt WebDAV und trojanisierte Electron-App zur Malware-Verteilung”

ClickFix-Variante nutzt WebDAV und trojanisierte Electron-App zur Malware-Verteilung

Studien

Featured image for “Drucksicherheit bleibt in vielen KMU ein vernachlässigter Bereich”

Drucksicherheit bleibt in vielen KMU ein vernachlässigter Bereich

Featured image for “Sieben Regierungen einigen sich auf 6G-Sicherheitsrahmen”

Sieben Regierungen einigen sich auf 6G-Sicherheitsrahmen

Featured image for “Lieferkettenkollaps und Internetausfall: Unternehmen rechnen mit dem Unwahrscheinlichen”

Lieferkettenkollaps und Internetausfall: Unternehmen rechnen mit dem Unwahrscheinlichen

Featured image for “KI als Werkzeug für schnelle, kostengünstige Cyberangriffe”

KI als Werkzeug für schnelle, kostengünstige Cyberangriffe

Featured image for “KI beschleunigt Cyberangriffe: IBM X-Force warnt vor wachsenden Schwachstellen in Unternehmen”

KI beschleunigt Cyberangriffe: IBM X-Force warnt vor wachsenden Schwachstellen in Unternehmen

Whitepaper

Featured image for “Cloudflare Threat Report 2026: Ransomware beginnt mit dem Login – KI und Botnetze treiben die Industrialisierung von Cyberangriffen”

Cloudflare Threat Report 2026: Ransomware beginnt mit dem Login – KI und Botnetze treiben die Industrialisierung von Cyberangriffen

Featured image for “EBA-Folgebericht: Fortschritte bei IKT-Risikoaufsicht unter DORA – weitere Harmonisierung nötig”

EBA-Folgebericht: Fortschritte bei IKT-Risikoaufsicht unter DORA – weitere Harmonisierung nötig

Featured image for “Böswillige KI-Nutzung erkennen und verhindern: Anthropics neuer Bedrohungsbericht mit Fallstudien”

Böswillige KI-Nutzung erkennen und verhindern: Anthropics neuer Bedrohungsbericht mit Fallstudien

Featured image for “Third Party Risk Management – auch das Procurement benötigt technische Unterstützung”

Third Party Risk Management – auch das Procurement benötigt technische Unterstützung

Featured image for “EU-Toolbox für IKT-Lieferkettensicherheit: Gemeinsamer Rahmen zur Risikominderung”

EU-Toolbox für IKT-Lieferkettensicherheit: Gemeinsamer Rahmen zur Risikominderung

Hamsterrad-Rebell

Featured image for “Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS) – Teil 2”

Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS) – Teil 2

Featured image for “Incident Response Retainer – worauf sollte man achten?”

Incident Response Retainer – worauf sollte man achten?

Featured image for “KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen”

KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen

Featured image for “NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg”

NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg

Featured image for “Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen”

Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen