Unit 42の研究者らは、最近相次いでいる標的型サイバー攻撃を、Screening Serpens(別名:UNC1549、Smoke Sandstorm、Iranian Dream Job)によるものと断定しました。同グループはイランと関係を持つAPTであり、少なくとも2022年から活動を続けています。
2026年2月中旬から4月にかけて、このグループは6種類の新たなリモートアクセス型トロイの木馬(RAT)亜種を展開し、米国・イスラエル・アラブ首長国連邦および中東の複数の組織を標的にした協調攻撃を実施しました。
これらのキャンペーンの時期は、2026年2月28日に始まった地域紛争の動向と密接に連動しており、攻撃者の技術的な高度化と作戦テンポの明確な向上を示しています。
Screening Serpensはテクノロジー分野の高価値なプロフェッショナルを重点的に狙い、精巧に作り込まれたソーシャルエンジニアリングによって感染を開始します。同グループはしばしば偽の採用資料や、なりすました求人プラットフォームをおとりとして使用します。
最近のキャンペーンでは、攻撃者は求人票のPDFや入れ子構造のペイロードを含むアーカイブ(例:Hiring Portal.zip)を配布したり、一般的なコラボレーションソフトウェアになりすましてターゲットの信頼を得た上で、インストーラーを実行させる手法を用いました。
実行には多くの場合、DLLサイドローディングによって悪意あるコンポーネントを起動する手法が用いられています。
今回発見された6種類のRAT亜種は、MiniUpdateと呼ばれる新たに確認されたマルウェアファミリーと、MiniJunk V2として追跡されている進化版MiniJunkの2系統に分類されます。
いずれのファミリーも、Screening Serpensの確立された手口に従っています。すなわち、初期アクセスにはスピアフィッシングのおとりを使用し、実行にはDLLサイドローディングを活用します。また、クロスコンタミネーションを防ぎ運用の耐障害性を高めるため、標的ごとおよび亜種ごとにAzureでホストされた3〜5個の固有のC2ドメインセットを使用します。
VirusTotalのメタデータとクラスタリングされたテレメトリから、少なくとも2セットの協調攻撃波が存在することが示唆されており、少なくとも1つのサンプルにはコンパイル時に埋め込まれた明示的なタイミング指示が含まれていました。
今回のキャンペーンで際立った技術的な進化として、AppDomainManagerハイジャックを利用したアプリケーションレベルのセキュリティコントロールの無効化が挙げられます。
AppDomainManagerは正規の.NETメカニズムであり、設定ファイルを通じてカスタマイズすることでCLR(共通言語ランタイム)の初期化プロセスに影響を与えることができます。
Screening Serpensはこのメカニズムを悪用し、カスタムのAppDomainManager実装に差し替える悪意ある設定ファイルを配置しました。これにより、アプリケーションのライフサイクルの早い段階でコードを実行し、組み込みのセキュリティチェックを先回りで無効化することが可能になります。
この手法により、RATは通常の.NET初期化動作に依存するエンドポイント保護の検出や干渉を受けにくい形で、ターゲットプロセス内で実行できるようになります。
Unit 42の調査報告によると、防御側は異常な.NET設定ファイルや予期しないAppDomainManager実装の検出を優先し、DLLサイドローディングのパターンを監視するとともに、Azureホストエンドポイントに関連する急速なドメインローテーションを追跡することが推奨されています。
CLRの初期化における早期の異常、一般的なインストーラーからの予期しない子プロセス、入れ子構造のペイロードを含むアーカイブコンテンツなどをフラグアップするエンドポイントおよびネットワーク検出機能を活用することで、早期発見の可能性を高めることができます。
Palo Alto Networksの顧客は、Advanced WildFire、Advanced URL Filtering、Advanced DNS Security、Cortex XDR、XSIAM、およびCortex Cloudの各機能によって保護されており、調査にはCortex AgentiXも活用できます。
侵害が疑われる場合は、Unit 42インシデントレスポンスチームにトリアージおよび封じ込めに関するガイダンスを問い合わせてください。
翻訳元: https://cyberpress.org/iranian-appdomainmanager-evasion/