O serie de atacuri care au început în iulie 2024 se bazează pe o tehnică mai puțin comună numită Injectarea Managerului AppDomain, care poate transforma orice aplicație Microsoft .NET pe Windows într-o armă.
Tehnica există din 2017, și au fost lansate mai multe aplicații demonstrative de-a lungul anilor. Cu toate acestea, este folosită în general în angajamentele echipei roșii și rar observată în atacuri răuvoitoare, deoarece apărătorii nu o monitorizează activ.
Divizia japoneză a NTT a urmărit atacurile care se încheie cu plasarea unui beacon CobaltStrike care a vizat agențiile guvernamentale din Taiwan, armata din Filipine și organizațiile energetice din Vietnam.
Tactici, tehnici și proceduri, și suprapunerile infrastructurale cu rapoartele recente de la AhnLab și alte surse, sugerează că grupul de amenință sponzorizat de statul chinez APT 41 este în spatele atacurilor, deși această atribuire are o încredere scăzută.
Asemănător cu încărcarea standard a DLL-urilor, Injectarea Managerului AppDomain implică, de asemenea, utilizarea fișierelor DLL pentru a atinge obiectivele răuvoitoare pe sistemele compromise.
Cu toate acestea, Injectarea Managerului AppDomain folosește clasa AppDomainManager a .NET Framework pentru a injecta și executa cod răuvoitor, făcându-l mai discret și mai versatil.
Atacatorul pregătește un DLL răuvoitor care conține o clasă care moștenește clasa AppDomainManager și un fișier de configurare (exe.config) care redirecționează încărcarea unei asamblări legitime către DLL-ul răuvoitor.
Atacatorul trebuie doar să plaseze DLL-ul răuvoitor și fișierul de configurare în același director cu executabilul țintă, fără a fi nevoie să se potrivească cu numele unui DLL existent, ca în încărcarea laterală a DLL-urilor.
Când aplicația .NET rulează, DLL-ul răuvoitor este încărcat, iar codul său este executat în cadrul aplicației legitime.
Spre deosebire de încărcarea laterală a DLL-urilor, care poate fi detectată mai ușor de software-ul de securitate, injectarea Managerului AppDomain este mai greu de detectat deoarece comportamentul răuvoitor pare să vină de la un fișier executabil legitim și semnat.
Atacurile observate de NTT încep cu livrarea unui arhivă ZIP către ținta care conține un fișier MSC (Componentă Script Microsoft) răuvoitor.
Când ținta deschide fișierul, codul răuvoitor este executat imediat fără alte interacțiuni sau clicuri din partea utilizatorului, folosind o tehnică numită GrimResource, detaliată în mod exhaustiv de echipa de securitate Elastic în iunie.
GrimResource este o tehnică de atac nouă care exploatează o vulnerabilitate de cross-site scripting (XSS) în biblioteca apds.dll din Windows pentru a executa cod arbitrar prin Consolele de Management Microsoft (MMC) folosind fișiere MSC create special.
Tehnica permite atacatorilor să execute JavaScript răuvoitor, care la rândul său poate rula cod .NET folosind metoda DotNetToJScript.
Fișierul MSC din ultimele atacuri observate de NTT creează un fișier exe.config în același director cu un fișier executabil Microsoft legitim și semnat (de exemplu, oncesvc.exe).
Acest fișier de configurare redirecționează încărcarea anumitor asamblări către un DLL răuvoitor, care conține o clasă care moștenește clasa AppDomainManager a .NET Framework și este încărcat în locul asamblării legitime.
În cele din urmă, acest DLL execută cod răuvoitor în cadrul executabilului Microsoft legitim și semnat, evitând complet detectarea și trecând de măsurile de securitate.
Etapa finală a atacului constă în încărcarea unui beacon CobaltStrike pe mașină, pe care atacatorul îl poate folosi pentru a efectua o gamă largă de acțiuni răuvoitoare, inclusiv introducerea de încărcături suplimentare și deplasarea laterală.
Deși nu este sigur că APT41 este responsabil pentru atacuri, combinația dintre Injectarea Managerului AppDomain și tehnicile GrimResource indică faptul că atacatorii au expertiza tehnică pentru a combina tehnici noi și mai puțin cunoscute în cazuri practice.
Leave a Reply