ハッカーは信頼されたIntelのユーティリティを悪用して、.NET AppDomainメカニズムをハイジャックすることで、署名済み実行ファイル内で悪質なコードを静かに実行させ、多くのエンタープライズ防御を回避しています。
研究者がOperation PhantomCLRと名付けたこのキャンペーンは、中東とより広いEMEA地域の金融機関やその他の組織を標的にしており、高度にターゲット化されたスピアフィッシングとステルス的なメモリ内技術を使用しています。
研究者は攻撃者が正当に署名されたIntelストレージユーティリティであるIAStorHelp.exeを、マルチステージのエクスプロイト後フレームワークの主要なランチャーとして武装させていることを観察しました。
このバイナリはAuthenticodeで署名され、広く信頼されているため、セキュリティツールはその実行を許可する可能性が高く、脅威アクターはこれを利用して既知の正当なプロセスを通じてすべての悪質なアクティビティをプロキシします。
コアのトリックは.NETのAppDomainManager機能の悪用です。これはアプリケーションドメインが.NETプロセス内でどのように作成されるかを制御します。
CYFIRMAでは、企業を対象とした進化するサイバー脅威を継続的に監視しています。このメカニズムをハイジャックすることで、攻撃者は元のIntelバイナリを修正することなく、IAStorHelp.exeの正当なロジックが実行される前に独自の.NETコードを実行させます。これにより、ユーティリティを有効なデジタル署名を保持しながら、ステルスなマルウェアコンテナに変えてしまいます。
汚染されたコンフィグを通じたAppDomainハイジャック
侵入は通常、署名されたIAStorHelp.exe、悪質なIAStorHelp.exe.configファイル、難読化された.NETローダーDLL、暗号化されたペイロード、欺瞞的な「.pdf.lnk」ショートカット、およびリアルな偽のPDFを含むZIPアーカイブを含むスピアフィッシングメールから始まります。
被害者がショートカットをダブルクリックすると、Windowsはインテルバイナリを起動し、偽のドキュメントを開き、アクティビティが通常のポリシーまたは政府メモのように見えます。
実際の侵害は、.NETランタイムが同じフォルダからIAStorHelp.exe.configを自動的にロードするときに発生します。
このコンフィグ内で、攻撃者はAppDomainManagerを再定義して、悪質なIAStorHelpMosquitoproof.dllとstylohydeusという名前のカスタムクラスを指すようにし、プロセス初期化中に彼らのコードが最初に実行されることを保証します。
「在宅勤務ポリシーアップデート」というタイトルのドキュメントは、リモートワークの正当化として中東地域のセキュリティ状況を引用しており、文脈的に関連するソーシャルエンジニアリングを示しています。
.NETはこのパスを通じてロードされるアセンブリにコード署名チェックを強制しないため、署名されていない難読化されたDLLは署名されたIntelホストの信頼を静かに継承します。
実行されると、フレームワークはサンドボックスとエンドポイント検出ツールに見えないようにすることに焦点を当てます。
明らかなスリープの代わりに60秒のCPU集約的な素数計算ループを使用して悪質なアクションを遅延させ、その後892,007回の反復AESキー導出サイクルを実行して、大きな暗号化されたペイロードブロブを復号化します。
これらの技術は、重いが良性の計算として表示されながら、自動分析時間ウィンドウを使い果たすように設計されています。
マルウェアはVirtualAllocやWriteProcessMemoryなどの一般的なAPIを使用する代わりに、ジャストインタイム(JIT)「トランポリン」技術を使用します。.NETに実行可能コードを生成させ、メモリ領域をシェルコードで上書きし、関数ポインタ経由で呼び出します。
このメモリ内アプローチは従来のテレメトリーを削減し、古典的なインジェクション指標を探すツールのブラインドスポットを作成します。
フレームワークは、複数の正当なWindowsのDLLをロードし、不要なクラスでコードを膨らませ、標準的なインポートテーブルなしでAPIを動的に解決することでさらに混ざります。
CloudFrontを使用したC2とプラグイン
ネットワーク側では、マルウェアはAmazon CloudFrontを攻撃者が管理するAWSエラスティックロードバランシングでホストされているインフラストラクチャの前にドメインフロンティング層として使用してHTTPS上で通信します。
.NET CLRは、アプリケーション起動中に実行ファイルと同じディレクトリの<executable_name>.configパターンに一致するコンフィグファイルを自動的に検索し、レジストリの変更は不要です。
トラフィックが信頼できるクラウドサービスに流れているように見えるため、単純なIPまたはドメインのブロッキングはるかに効果的ではなくなります。定期的なビーコンとタスキングは通常のTLS内を移動するため、悪質なパターンを検出するには深い検査またはSSL傍受が必要です。
内部では、フレームワークはモジュラープラグインプラットフォームとして動作し、データの盗聴、キーロギング、スクリーンキャプチャなどの追加機能をメモリ全体からロードできます。
マルウェアのアセンブリメタデータは、会社名、バージョニング、信頼できるソフトウェアを模倣する識別子などのなりすまし属性を含む、正当に見えるように意図的に作成されています。
ヒープウォーキングコンテキスト回復やメモリへのアクセスをブロックしてから解放することでペイロードトレースを消去する2段階メモリティアダウンなどの復元力機能が含まれており、フォレンジック作業を挫折させます。
防御者は、署名されたバイナリと一緒に配置された異常な.exe.configファイル、特にAppDomainManager設定が不明または署名されていない.NETアセンブリを参照する場合を監視する必要があります。
セキュリティチームは、ユーザー書き込み可能なディレクトリからのIAStorHelp.exe実行、疑わしい.pdf.lnkショートカット、およびCloudFrontまたは他のCDNへのアウトバウンドHTTPS接続を開始するIntelプロセスを探すことをお勧めします。
ベンダーと企業は、アプリケーションの許可リストを厳しくし、.NET構成の変更を検査し、JIT悪用、異常なAppDomainアクティビティ、および反射的なメモリ内ロード用にチューニングされた動作ベースの検出を採用することで、同様の悪用に対して強化できます。
このキャンペーンの洗練さと信頼された実行パスへの焦点を考えると、金融、政府、重要なインフラストラクチャセクターの組織は、IAStorHelp.exeとAppDomainハイジャックに関連する検出をドメイン全体の侵害の可能性として扱うべきです。
IOCs(侵害の指標)
| 番号 | IOCs | タイプ | 備考 |
| 1 | f2266b45d60f5443c5c9304b5f0246348ad82ca4f63c7554c46642311e3f8b83 | SHA-256 | ブロック |
| 2 | 4f353b9634509a5e1456e54ccb4ce64c1e6d95094df96048ef79b30cc2fda6cb | SHA-256 | ブロック |
| 3 | 5d784d3ca02ab0015b028f34aa54bc8c50db39f9671dc787bc2a84f0987043b2 | SHA-256 | ブロック |
| 4 | 8ba1b0392a8fbfb455c43c4e1408352d0e5fc281148810143a5b64938fb0982f | SHA-256 | 監視 |
| 5 | dp8519iqiftub[.]cloudfront[.]net | ドメイン | 監視 |
| 6 | dunamis-ethos508-prod-va6-856defacfb833db1[.]elb[.]us-east-1[.]amazonaws[.]com | ドメイン | 監視 |
翻訳元: https://gbhackers.com/intel-utility-hijacked/
