新たに確認されたサイバーキャンペーンが、AppDomainハイジャックという高度な技術を使用して、信頼されたIntelユーティリティを悪用し、ステルスマルウェアを実行しています。
この攻撃は、正規のIntel署名されたバイナリを使用して、悪意のあるアクティビティが通常のシステム動作に溶け込むようにします。
信頼されたアプリケーションを修正する代わりに、攻撃者はプログラムの起動フェーズ中に独自のコードを注入するために.NETランタイム環境を操作します。この方法は、コード署名保護とセキュリティ監視ツールを効果的に回避します。
攻撃はフィッシングメールで始まりますZIPファイルが含まれているもので。その中には、正規のIntel実行ファイル、悪意のある構成ファイル、および難読化された.NET DLLなど、複数のコンポーネントが含まれています。
被害者が偽装されたショートカットファイルを開くと、信頼されたIntelユーティリティが起動され、バックグラウンドで悪意のあるプロセスが静かにトリガーされます。
使用される主要な技術はAppDomainManagerハイジャックです。
実行ファイルの隣に特別に作成された構成ファイルを配置することで、攻撃者は.NET共通言語ランタイム(CLR)にアプリケーションの通常のコードが実行される前に悪意のあるDLLをロードするよう強制します。
これにより、攻撃者は元のプログラムを変更することなく、実行の早期制御を得ることができます。
実行されると、マルウェアはいくつかのステルス操作を実行します。60秒のタイミングループなどの大量の計算遅延を使用して、サンドボックス検出システムを回避します。
また、ペイロードを隠すために暗号化と難読化を採用し、セキュリティツールがその動作を分析することを困難にします。悪意のあるペイロードは暗号化された形式で保存され、実行時にデコードされます。
マルウェアは、高度なメモリ内実行方法を使用して、基本的な技術を超えています。メモリ割り当てAPIなどの一般的なシステムコールを回避します。
代わりに、.NET Just-In-Time(JIT)コンパイラを活用してシェルコードを実行します。これはエンドポイント検出システムの大きな盲点を作成します。
さらに、マルウェアはCDNサービスを含む信頼されたクラウドインフラストラクチャを介してコマンドアンドコントロールサーバーと通信し、通常のインターネットトラフィックに溶け込むのに役立ちます。また、リフレクティブDLLロードと直接システムコールを使用して、さらに検出を回避します。
実行後にメモリから痕跡を消去するアンチフォレンジック機能も含まれており、事後調査を極めて困難にします。
このキャンペーンは、信頼されたソフトウェアと正規のシステムプロセスを悪用する方向への、サイバー攻撃の増加する転換を強調しています。
ステルス、モジュール設計、および高度な回避技術を組み合わせることで、攻撃者は従来のセキュリティツールを使用して検出および対応が困難な脅威を作成しています。
翻訳元: https://cyberpress.org/appdomain-hijacks-intel-utility/
