Исследователи из NTT выявили волну атак, начавшихся в июле 2024 года и использующих технику AppDomain Manager Injection, которая нечасто встречалась в природе. Атаки были направлены на правительственные учреждения Тайваня, военных на Филиппинах и энергетические организации во Вьетнаме.
Атаки завершаются развертыванием маяка CobaltStrike, и есть признаки совпадения с недавними отчетами AhnLab, что позволяет предположить причастность китайской государственной группы угроз APT 41, хотя эта атрибуция имеет низкую степень достоверности. Техника AppDomain Manager Injection использует класс AppDomainManager в .NET Framework для внедрения и выполнения вредоносного кода, что делает ее более скрытной и универсальной, чем стандартная боковая загрузка DLL.
Атаки, наблюдаемые NTT, начинаются с доставки ZIP-архива, содержащего вредоносный файл MSC, который использует уязвимость межсайтового скриптинга (XSS) в библиотеке apds.dll в Windows для выполнения произвольного кода через Microsoft Management Console (MMC) с помощью специально созданных .msc-файлов. Эти .msc-файлы используют технику GrimResource, которая позволяет автоматически выполнять скрипты при открытии файла, исключая необходимость взаимодействия с пользователем. В конечном итоге это приводит к загрузке на машину маяка CobaltStrike, позволяющего выполнять широкий спектр вредоносных действий. По мнению NTT, сочетание методов AppDomain Manager Injection и GrimResource указывает на то, что злоумышленники обладают техническим опытом, позволяющим использовать новые и малоизвестные методы в практических случаях.
Indicators of Compromise
Domains
- krislab.site
- msn-microsoft.org
- s2cloud-amazon.com
- s3bucket-azure.online
- s3cloud-azure.com
- s3-microsoft.com
- trendmicrotech.com
- xtools.lol