Вълната от атаки, започнала през юли 2024 г., разчита на по-рядко срещана техника, наречена AppDomain Manager Injection, която може да използва всяко приложение на Microsoft .NET в Windows.
Техниката е известна от 2017 г. и през годините са пуснати множество приложения, доказващи концепцията. Тя обаче обикновено се използва в ангажименти на червения екип и рядко се наблюдава в злонамерени атаки, като защитниците не я наблюдават активно.
Японското подразделение на NTT е проследило атаки, които завършват с разгръщане на радиомаяк CobaltStrike, насочени към правителствени агенции в Тайван, военни във Филипините и енергийни организации във Виетнам.
Тактиките, техниките и процедурите, както и инфраструктурните припокривания с последните доклади на AhnLab и други източници предполагат, че зад атаките стои китайската държавно спонсорирана група за заплахи APT 41, въпреки че това приписване е с ниска степен на достоверност.
Подобно на стандартното странично зареждане на DLL, AppDomainManager Injection също включва използването на DLL файлове за постигане на злонамерени цели в пробитите системи.
При AppDomainManager Injection обаче се използва класът AppDomainManager на .NET Framework за инжектиране и изпълнение на злонамерен код, което го прави по-скрит и универсален.
Нападателят подготвя злонамерен DLL, който съдържа клас, наследяващ класа AppDomainManager, и конфигурационен файл (exe.config), който пренасочва зареждането на легитимно асембли към злонамерения DLL.
Нападателят трябва само да постави злонамерения DLL и конфигурационния файл в същата директория като целевия изпълним файл, без да е необходимо да съвпада с името на съществуващ DLL, както при страничното зареждане на DLL.
Когато .NET приложението се стартира, злонамереният DLL се зарежда и неговият код се изпълнява в контекста на легитимното приложение.
За разлика от страничното зареждане на DLL, което по-лесно може да бъде открито от софтуера за сигурност, инжектирането на AppDomainManager е по-трудно за откриване, тъй като зловредното поведение изглежда, че идва от легитимен, подписан изпълним файл.
Атаките, наблюдавани от NTT, започват с доставката на ZIP архив до целта, който съдържа злонамерен MSC (Microsoft Script Component) файл.
Когато мишената отвори файла, зловредният код се изпълнява незабавно без по-нататъшно взаимодействие с потребителя или кликвания, като се използва техника, наречена GrimResource, описана подробно от екипа по сигурността на Elastic през юни.
GrimResource е нова техника за атака, която се възползва от уязвимост на cross-site scripting (XSS) в библиотеката apds.dll на Windows, за да изпълни произволен код чрез Microsoft Management Console (MMC), използвайки специално създадени MSC файлове.
Техниката позволява на атакуващите да изпълняват злонамерен JavaScript, който от своя страна може да стартира .NET код, използвайки метода DotNetToJScript.
Файлът MSC в последните атаки, наблюдавани от NTT, създава файл exe.config в същата директория като легитимен, подписан изпълним файл на Microsoft (напр. oncesvc.exe).
Този конфигурационен файл пренасочва зареждането на определени асемблита към злонамерен DLL, който съдържа клас, наследяващ класа AppDomainManager на .NET Framework, и се зарежда вместо легитимното асембли.
В крайна сметка този DLL изпълнява зловреден код в контекста на легитимния и подписан изпълним файл на Microsoft, като напълно избягва откриването и заобикаля мерките за сигурност.
Последният етап на атаката е зареждането на CobaltStrike beacon на машината, който нападателят може да използва за извършване на широк спектър от злонамерени действия, включително въвеждане на допълнителни полезни товари и странично движение.
Въпреки че не е сигурно, че APT41 е отговорна за атаките, комбинацията от техниките AppDomainManager Injection и GrimResource показва, че нападателите имат технически опит за смесване на нови и по-малко известни техники в практически случаи.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.