توزیع Cobalt Strike Beacon با استفاده از تکنیک AppDomain Injection

security news

موجی از حملات سایبری که در ژوئیه 2024 آغاز شد، بر تکنیک کمتر رایجی به نام AppDomain Manager Injection متکی هستند که می‌تواند اپلیکیشن‌های مایکروسافت NET. در ویندوز را به سلاح تبدیل کند.

این تکنیک از سال 2017 وجود داشته است و چندین اپ proof-of-concept در طول سال‌ها منتشر شده است. با این حال، معمولاً در درگیری‌های تیم قرمز استفاده شده و به ندرت در حملات مخرب مشاهده می‌شود، همچنین فعالان حوزه امنیتی به طور فعال آن را نظارت نمی‌کنند.

بخش ژاپنی NTT حملاتی را با تمرکز بر سازمان‌های دولتی، ارتش، انرژی در تایوان، فیلیپین و ویتنام ردیابی کرده است که به استقرار CobaltStrike beacon منتهی می‌شود. مهاجم ممکن است از CobaltStrike beacon جهت انجام طیف وسیعی از اقدامات مخرب از جمله معرفی payloadهای اضافی و حرکت جانبی استفاده کند.

تاکتیک‌ها، تکنیک‌ها و رویه‌ها، و همپوشانی‌های زیرساختی با گزارش‌های اخیر AhnLab و دیگر منابع نشان می‌دهد که گروه تهدید APT 41 مورد حمایت دولت چین با این حملات مرتبط است. (اگرچه این انتساب چندان قطعی نیست!)  AppDomainManager Injection نیز مشابه DLL side-loading استاندارد، شامل استفاده از فایل‌های DLL به منظور دستیابی به اهداف مخرب در سیستم‌های نقض شده است.

 

https://www.bleepingcomputer.com/news/security/hackers-now-use-appdomain-injection-to-drop-cobaltstrike-beacons/