最近の発見で、Socketの脅威研究チームはASP.NET開発者を標的とした高度なサプライチェーン攻撃を暴露しました。
この攻撃は4つの悪質なNuGetパッケージを含み、機密ログイン認証情報を流出させ、影響を受けたアプリケーション内に永続的なバックドアを作成するように設計されています。
このキャンペーンは、NCryptYoドロッパーから始まり、認証情報収集パッケージのDOMOAuth2_、IRAOAuth2.0、SimpleWriter_が続く、マルチステージペイロードをデプロイします。これらの悪質なパッケージは、2024年8月のリリース以降、4,500回以上ダウンロードされています。
主要なパッケージであるNCryptYoは暗号化ライブラリを装い、正当なNCryptoパッケージを模倣することでタイポスクワッティングを悪用しています。
NCryptoは実際の暗号化機能を実行しますが、NCryptYoのパブリックAPIはすべてのメソッドでnullを返し、その悪意のある意図を示しています。
パッケージの静的コンストラクタは、Just-In-Time(JIT)コンパイラフックをインストールしてペイロードを復号化し、localhost:7152にプロキシをデプロイします。このプロキシは、脅威アクターが制御するコマンド・アンド・コントロール(C2)サーバーへのトラフィックをリレーします。
DOMOAuth2_およびIRAOAuth2.0パッケージは、ユーザーアカウント、ロール、権限を含むASP.NET Identityデータの盗用に焦点を当てています。
これらのパッケージはNCryptYoによって確立されたプロキシ経由でデータを流出させ、攻撃者が影響を受けたアプリケーションにカスタム認可ルールを注入することも可能にします。
これにより永続的なバックドアが作成され、攻撃者がアプリケーションへの管理者アクセス権を自分自身に付与できるようになります。
一方、SimpleWriter_はPDF変換ユーティリティに偽装して、攻撃者がローカルバイナリを実行し、ディスクに任意のコンテンツを書き込むことを可能にします。
メソッドConvertHtmlToPDF()が呼び出されるたびに、パッケージはC2サーバーに接続します。サーバーに到達できない場合でも、ファイルを実行できます。ネットワーク接続なしでファイルを書き込み、プロセスを実行する機能により、このパッケージは特に危険です。
このプロキシはC2サーバーとの通信を容易にし、実行時に動的に解決されます。DOMOAuth2_およびIRAOAuth2.0パッケージは、このプロキシを使用して、ユーザーロールと権限を含む機密ASP.NET IDデータを流出させます。
C2サーバーに送信されたデータ C2 サーバー は攻撃者によって改変される可能性があり、変更された権限を注入したり、自分自身に管理者権限を付与することができます。
これにより、被害者のアプリケーションに長期的で検出されないバックドアが実現され、本番環境へのデプロイ後でも活動し続けることができます。
SimpleWriter_パッケージは、攻撃者がシステムにファイルを書き込み、プロセスを実行し、さらなる悪質なコンポーネントを注入する可能性があることで、攻撃にもう1つのレイヤーを追加します。
Socket CLIおよびSocket Firewallを含むSocketのセキュリティソリューションは、悪質なパッケージをブロックし、侵害された依存関係が本番環境に入るのを防ぐことで、このタイプの攻撃に対する複数層の防御を提供します。
これらのツールを開発ワークフローに組み込むことで、組織は進化するサプライチェーン脅威に対してより良く防御することができます。
翻訳元: https://cyberpress.org/nuget-exploit-steals-credentials/