イランと関係するハッカー集団が、.NETアプリケーションにおけるAppDomainManagerハイジャック技術を駆使し、悪意あるコードが完全に起動する前にセキュリティテレメトリを無効化する手口を確立しました。これにより、エンドポイント検出・対応(EDR)ツールによる攻撃検知が格段に困難になっています。
今回のキャンペーンは、イランと関連するグループ「Screening Serpens」の仕業とされており、このハイジャック技術にDLLサイドローディング、偽の求人情報を利用したルアー、段階的なリモートアクセス型トロイの木馬(RAT)を組み合わせることで、被害者の目をくらまし、防御側を後手に回らせます。
同グループはまず、高度にカスタマイズされたソーシャルエンジニアリングから攻撃を開始します。採用担当者、求人ポータル、会議用ソフトウェアを装い、ターゲットに悪意ある圧縮ファイルを開かせようとします。
被害者が正規と見せかけた実行ファイルを起動すると、攻撃者は細工を施した設定ファイルを使って.NETの起動プロセスを乗っ取り、ローカルディレクトリから攻撃者が制御するコードを読み込ませます。
この手順が重要なのは、ホストアプリケーションが完全に起動する前に実行されるからです。確認されたサンプルでは、悪意ある設定ファイルによってETWが無効化され、厳密名検証がバイパスされ、より安全なアセンブリリダイレクトがブロックされます。これにより、EDR製品が通常依存する可視性が著しく低下します。
ETW(Event Tracing for Windows)は、最新のセキュリティツールが.NETの動作やロードされたアセンブリを監視するために利用する主要なテレメトリソースです。
合法的な.NET設定を通じてETWを無効化することで、攻撃者は防御側が検知しやすいノイズの多いメモリパッチングや明白なAPIフッキングを回避しています。
Unit 42がGBhackersと共有したレポートには、イランと関連するAPTグループ「Screening Serpens」(別名:UNC1549、Smoke Sandstorm、Iranian Dream Job)によるサイバー攻撃の証拠が記されています。
また同調査では、攻撃者がこのハイジャックを利用し、セキュリティスタックが反応する前に信頼されたプロセスのコンテキストで悪意あるDLLを実行していたことも明らかになっています。これによりマルウェアはよりステルス性の高い起動経路を確保し、通常の検査ワークフローをすり抜けることができます。
AppDomainManagerハイジャックの手口
最初のハイジャック後、ローダーはユーザーのAppDataパスにファイルをドロップしてリネームし、持続性を維持するためのスケジュールタスクを作成します。一部のフローでは、マルウェアがバックグラウンドで第2ステージを準備している間、ユーザーには偽のインストーラー画面が表示されます。
攻撃者は特定の求人IDを記載することで正規の企業採用応募を模倣しており、ターゲットが求人内容を確認して入れ子構造の「Hiring Portal.zip」を展開する可能性を高めています。
最終ペイロードは多機能RATで、コマンド実行、プロセス操作、ファイルの分割アップロード、複数のC2(コマンド&コントロール)サーバーへの接続が可能です。
また本キャンペーンでは、Azureでホストされるドメインをローテーションして使用し、ブラウザに似せたユーザーエージェントを用いることで、通常のネットワークトラフィックに紛れ込んでいます。
このキャンペーンは、基本的なDLLサイドローディングからより高度な実行前防御回避モデルへの明確なシフトを示しています。セキュリティツールを直接破壊するのではなく、設定ファイルを通じて.NETランタイム自身に保護機能を無効にさせるという、よりクリーンで不審性の低い手法を採用しています。
防御側にとっては、異常な.NET設定ファイル、予期しないAppDomainManagerの設定、不審なローカルアセンブリの読み込み、ユーザーが書き込み可能なパスから起動する信頼済み実行ファイルといった挙動に検知を集中させることが重要です。
脅威アクターは、ドロップしたupdate.exe.configファイルを使用してネイティブな回避ディレクティブを再適用し、ETWと厳密名検証を明示的に無効化します。
これらの挙動をブロックまたはアラートとして検出することで、RATが制御を握る前に攻撃を捕捉できる可能性があります。
セキュリティチームは、ローカルパスから読み込む.NETアプリケーションの確認、異常なスケジュールタスクの監視、正規バイナリと不審なDLLがセットになった圧縮ファイルの検査を行う必要があります。
また、DLLサイドローディングとAppDomainManagerハイジャックを、シグネチャベースのマルウェアイベントとしてではなく、高リスクな挙動として扱うことも重要です。
今回の件から得られる教訓はシンプルです。これらの攻撃者はもはやマルウェアのペイロードだけに依存していません。信頼されたソフトウェアそのものの起動ロジックを攻撃対象としており、静的なインジケーターだけでなく、挙動ベースの検知とアプリケーションの堅牢化がいかに重要であるかを改めて示しています。
侵害の痕跡(IoC)
ドメイン
| # | ドメイン |
|---|---|
| 1 | licencemanagers.azurewebsites[.]net |
| 2 | LicenceSupporting.azurewebsites[.]net |
| 3 | PeerDistSvcManagers.azurewebsites[.]net |
| 4 | ThemesManagers.azurewebsites[.]net |
| 5 | ThemesProviderManagers.azurewebsites[.]net |
| 6 | docspace-y4cumb.onlyoffice[.]com |
| 7 | NanoMatrix.azurewebsites[.]net |
| 8 | QuantumWeave.azurewebsites[.]net |
| 9 | ElementShift.azurewebsites[.]net |
| 10 | business-startup[.]org |
| 11 | business-startup.azurewebsites[.]net |
| 12 | Businessstartup.azurewebsites[.]net |
| 13 | app[redacted][.]live |
| 14 | buisness-centeral.azurewebsites[.]net |
| 15 | buisness-centeral-transportation.azurewebsites[.]net |
| 16 | Buisness-centeral-transportation[.]com |
| 17 | docspace-twpf0e.onlyoffice[.]com |
| 18 | PremierHealthAdvisory[.]com |
| 19 | PremierHealthAdvisory.azurewebsites[.]net |
| 20 | Premier-HealthAdvisory.azurewebsites[.]net |
| 21 | Ramiltonsfinance[.]com |
| 22 | Ramiltonsfinance.azurewebsites[.]neti |
| 23 | Ramiltons-finance.azurewebsites[.]net |
URL
| # | URL |
|---|---|
| 1 | hxxps[:]//docspace-y4cumb.onlyoffice[.]com/storage/files/root/folder_3602000/file_3601577/v1/content.zip[…] |
| 2 | hxxps[:]//app[redacted][.]live/meeting/edcdba624ddb43c2a1dcf334aa493068 |
| 3 | hxxps[:]//docspace-twpf0e.onlyoffice[.]com/storage/files/root/folder_3765000/file_3764519/v1/content.zip?filename=remote.[REDACTED].zip |
| 4 | hxxps[:]//2117.filemail[.]com/api/file/get?filekey=T0EnWQ6NugHkW_kLfDxPBEw_um6NSkg9ZwNRQ_5lrKrLLUo35pV8m3TKv1LqF3zZzdUm |
注意: IPアドレスおよびドメインは、誤ったアクセスやハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻して使用してください。
翻訳元: https://gbhackers.com/iranian-hackers-hijack-appdomainmanager/
