Hackers now use AppDomain Injection to drop CobaltStrike beacons

2024年7月に始まった攻撃の波は、AppDomain Manager Injectionと呼ばれる、Windows上のあらゆるMicrosoft .NETアプリケーションを武器化できる、あまり一般的ではないテクニックに依存している。

この技法は2017年から存在しており、何年にもわたって複数の概念実証アプリがリリースされている。しかし、この手法は通常レッドチームの活動で使用され、悪意のある攻撃で観測されることはめったになく、防御側が積極的に監視することはない。

NTTの日本部門は、台湾の政府機関、フィリピンの軍、ベトナムのエネルギー組織を標的としたCobaltStrikeビーコンを展開することで終わる攻撃を追跡してきた。

戦術、技術、手順、および最近のAhnLabの報告書や他の情報源とのインフラストラクチャの重複から、この攻撃の背後には中国の国家に支援された脅威グループAPT 41がいることが示唆されていますが、この帰属の信頼性は低いものです。

AppDomain Managerインジェクション

標準的なDLLのサイドローディングと同様に、AppDomainManagerインジェクションも、侵入されたシステム上で悪意のある目標を達成するためにDLLファイルを使用します。

しかし、AppDomainManager インジェクションは、.NET Framework の AppDomainManager クラスを利用して悪意のあるコードを注入・実行するため、より巧妙で汎用性が高くなっています。

攻撃者は、AppDomainManagerクラスを継承したクラスと、正規のアセンブリのロードを悪意のあるDLLにリダイレクトする設定ファイル(exe.config)を含む悪意のあるDLLを準備します。

攻撃者は、DLLサイドローディングのように既存のDLLの名前と一致させる必要はなく、悪意のあるDLLと設定ファイルをターゲットの実行ファイルと同じディレクトリに置くだけでよい。

.NETアプリケーションが実行されると、悪意のあるDLLがロードされ、そのコードが正規のアプリケーションのコンテキスト内で実行されます。

セキュリティソフトウェアによってより簡単に検出できるDLLサイドローディングとは異なり、AppDomainManagerインジェクションは、悪意のある動作が署名された正当な実行可能ファイルから来ているように見えるため、検出が困難です。

GrimResource 攻撃

NTTが観測した攻撃は、悪意のあるMSC(Microsoft Script Component)ファイルを含むZIPアーカイブをターゲットに配信することから始まります。

ターゲットがこのファイルを開くと、GrimResourceと呼ばれるテクニックを使って、それ以上ユーザーが操作したりクリックしたりすることなく、悪意のあるコードが即座に実行されます。

GrimResourceは、Windowsのapds.dllライブラリに存在するクロスサイト・スクリプティング(XSS)の脆弱性を悪用し、特別に細工されたMSCファイルを使ってMicrosoft Management Console(MMC)を介して任意のコードを実行する、新しい攻撃手法です。

この手法により、攻撃者は悪意のあるJavaScriptを実行することができ、DotNetToJScriptメソッドを使用して.NETコードを実行することができます。

NTTが確認した最新の攻撃におけるMSCファイルは、正規の署名付きMicrosoft実行ファイル(oncesvc.exeなど)と同じディレクトリにexe.configファイルを作成する。

この設定ファイルは、特定のアセンブリのロードを悪意のあるDLLにリダイレクトします。このDLLには、.NET FrameworkのAppDomainManagerクラスを継承したクラスが含まれており、正規のアセンブリの代わりにロードされます。

最終的に、このDLLは、署名された正規のMicrosoft実行ファイルのコンテキスト内で悪意のあるコードを実行し、検出を完全に回避してセキュリティ対策を回避します。

Overview of the observed attacks
観測された攻撃の概要
ソースNTT

攻撃の最終段階は、マシン上にCobaltStrikeビーコンをロードすることであり、攻撃者はこのビーコンを使用して、追加のペイロードの導入や横方向の移動など、幅広い悪意のあるアクションを実行する可能性がある。

APT41がこの攻撃に関与しているとは断定できないが、AppDomainManagerインジェクションとGrimResourceのテクニックの組み合わせは、攻撃者が実用的なケースで新規のテクニックとあまり知られていないテクニックを混在させる技術的専門知識を持っていることを示している。