موجی از حملات سایبری که در ژوئیه 2024 آغاز شد، بر تکنیک کمتر رایجی به نام AppDomain Manager Injection متکی هستند که میتواند اپلیکیشنهای مایکروسافت NET. در ویندوز را به سلاح تبدیل کند.
این تکنیک از سال 2017 وجود داشته است و چندین اپ proof-of-concept در طول سالها منتشر شده است. با این حال، معمولاً در درگیریهای تیم قرمز استفاده شده و به ندرت در حملات مخرب مشاهده میشود، همچنین فعالان حوزه امنیتی به طور فعال آن را نظارت نمیکنند.
بخش ژاپنی NTT حملاتی را با تمرکز بر سازمانهای دولتی، ارتش، انرژی در تایوان، فیلیپین و ویتنام ردیابی کرده است که به استقرار CobaltStrike beacon منتهی میشود. مهاجم ممکن است از CobaltStrike beacon جهت انجام طیف وسیعی از اقدامات مخرب از جمله معرفی payloadهای اضافی و حرکت جانبی استفاده کند.
تاکتیکها، تکنیکها و رویهها، و همپوشانیهای زیرساختی با گزارشهای اخیر AhnLab و دیگر منابع نشان میدهد که گروه تهدید APT 41 مورد حمایت دولت چین با این حملات مرتبط است. (اگرچه این انتساب چندان قطعی نیست!) AppDomainManager Injection نیز مشابه DLL side-loading استاندارد، شامل استفاده از فایلهای DLL به منظور دستیابی به اهداف مخرب در سیستمهای نقض شده است.
https://www.bleepingcomputer.com/news/security/hackers-now-use-appdomain-injection-to-drop-cobaltstrike-beacons/
