One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8565688 |
| Date de publication | 2024-08-28 20:46:51 (vue: 2024-08-28 21:18:29) |
| Titre | Les pirates utilisent désormais l'injection d'appdance pour laisser tomber les balises de Cobaltstrike Hackers now use AppDomain Injection to drop CobaltStrike beacons |
| Texte | #### Géolocations ciblées - Taiwan - Vietnam - Philippines ## Instantané Des chercheurs de NTT ont identifié une vague d'attaques à partir de juillet 2024 qui exploitent la technique de l'injection du gestionnaire d'Appdomain qui a été inhabituellement observée dans la nature.Les attaques ont ciblé les agences gouvernementales à Taïwan, les militaires aux Philippines et les organisations énergétiques au Vietnam. ## Description Les attaques culminent dansDéploiement d'un [CobaltStrike] (https://security.microsoft.com/intel-profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc)Beacon, et il y a des indications de chevauchement avec les récents rapports AHNLAB, suggérant l'implication du groupe de menaces parrainé par l'État chinois, APT 41, bien que cette attribution ait une faible confiance.La technique d'injection du gestionnaire AppDomain exploite la classe AppDomainManager .NET Framework de. Les attaques observées par NTT commencent par la livraison d'une archive zip contenant un fichier MSC malveillant, qui exploite une vulnérabilité de script de sites croisées (XSS) dans la bibliothèque APDS.DLL de Windows pour exécuter du code arbitraire via Microsoft Management Console (MMC) en utilisantFichiers .MSC spécialement conçus.Ces fichiers .msc tirent parti de la technique GrimResource, ce qui permet l'exécution automatique des scripts lorsqu'un fichier est ouvert, éliminant le besoin d'interaction utilisateur.Cela conduit finalement au chargement d'une balise de Cobaltsstrike sur la machine, permettant un large éventail d'actions malveillantes.Selon NTT, la combinaison des techniques d'injection et de grimresource du gestionnaire d'Appdomain indique que les attaquants ont l'expertise technique pour utiliser des techniques nouvelles et moins connues dans des cas pratiques. ## Analyse Microsoft Les fichiers de console enregistrés (.MSC) de gestion sont utilisés pour stocker des configurations pour Microsoft Management Console (MMC), mais ils pourraient être abusés par les acteurs de la menace pour lancer un code malveillant.Microsoft Threat Intelligence a observé les acteurs de la menace [Emerald Sleet] (https://security.microsoft.com/intel-profiles/f1e214422dcaf4fb337dc703ee4ed596d8ae16f942f442b895752ad9f41dd58e) et [twill] (htypho urity.microsoft.com/intel-profiles/01aef6bb1a4cd12178aca7fceb848002164b83bf375fa33699ed4c5523b4fd3c) Utilisation de cette technique comme vecteur d'accès initial pour déployer des fichiers malveillants sur des appareils cibler.D'autres acteurs de menace ont déployé des logiciels malveillants tels que la grève de Cobalt en utilisant une technique que les chercheurs appelle GrimResource, qui fait référence à un fichier .MSC spécialement conçu qui utilise un défaut de script de site croisé (XSS) trouvé dans APDS.dll pour exécuter du code à l'aide de MMC. Microsoft Defender Antivirus détecte GrimResource et MALWORED déployé par ces fichiers .MSC malveillants.Lors de l'ouverture d'un fichier .msc téléchargé depuis Internet ou joint à un e-mail, un utilisateur doit accepter une invite d'avertissement de sécurité que le fichier .msc est lancé.Les organisations peuvent se défendre davantage contre cette technique en tirant parti des règles de réduction de la surface d'attaque pour limiter les types d'exécutables autorisés à s'exécuter dans votre environnement. En savoir plus sur la façon dont les acteurs de menace utilisent [les fichiers MMC pour fournir des logiciels malveillants] (https://security.microsoft.com/intel-explorer/articles/5b8609f0). ## Détections / requêtes de chasse ### Microsoft Defender Antivirus Microsoft DL'antivirus Efender détecte les composants de menace comme le malware suivant: - Trojan: XML / GRIMSOURCE.B - TrojandRopper: JS / GRIMRESOURCE.C Microsoft a observé une activité post-compromise avec les détections antivirus suivantes: - [Trojan: WIn64 / cobaltsstrike.qf] (htt |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### #### **© 2024 2024** 2147065518 2147154831 365 365/security/defender abbreviatedmktgpage about abused accept access accessed according actions activity actors advanced against age agencies ahnlab all allowed allows although analysis anti antivirus antivirus any apds app appdomain appdomainmanager apt arbitrary archive are associated attached attack attacker attackers attacks attribution audit automatic automatically backdoor:msil/cobaltstrike based beacon beacons beacons/ been bleeping bleepingcomputer block blog/appdomainmanager broad browsers but call campaign can card cases certain check chinese class cloud cobalt cobaltstrike code com/deployedge/microsoft com/en com/intel com/microsoft com/news/security/hackers com/security/business/siem combination commands commandshttps://learn compatibility components compromise computer confidence configurations console consumer containing content control control/overview copyright could cover crafted creations criterion cross culminate dangerous defend defender deliver delivered delivery deploy deployed deploying deployment description detect detections/hunting detections: detects devices distribution dll downloaded drop edge eliminating email emails emerald employ enable enabling encyclopedia endpoint/attack endpoint/configure endpoint/overview energy environment equivalent evolving example executable executables execute execution experience expertise exploit exploiting exploits explorer/articles/5b8609f0 feature file files first flaw following found framework from further general geolocations government grimresource group hackers hardening has have how https://jp https://learn https://security https://www huge human identified identify impact including incoming indicates indications initial inject injection intelligence interaction internet invest involvement issues july known lateral launch launched leads learndoc learndoc#block learndoc#use learning less leverage leverages leveraging library limit links list loading low machine majority making malicious malware malware: management manager may meet microsoft military mitigations mmc monitor monitored more movement msc msc* mtb&threatid= must name=backdoor:msil/cobaltstrike name=trojan:win64/cobaltstrike need net new novel now ntt ntt/tech observed ocid=magicti office opened opening operated organizations originating origins other overlap overview part permission philippines phishing post potentially practical prevalence prevent process product profiles/01aef6bb1a4cd12178aca7fceb848002164b83bf375fa33699ed4c5523b4fd3c profiles/f1e214422dcaf4fb337dc703ee4ed596d8ae16f942f442b895752ad9f41dd58e profiles/fd8511c1d61e93d39411acf36a31130a6795efe186497098fe0c6f2ccfb920fc prohibited prompt protection protections psexec queries range ransomware rapidly read recent recommendations recommends reduce reduction refer reference references refers reports reproduction researchers reserved rights rule rules run running saved scan scripting scripts security server should side sight site sleet smart smartscreen snapshot solutions solutions that some source specially sponsored standard start starting state status stealthier store strike such suggesting surface systems taiwan target targeted technical technique techniques than that thereof these those threat threat: through tools trojan:win64/cobaltstrike trojan:xml/grimresource trojandropper:js/grimresource trusted turn twill types typhoon ultimately uncommonly unknown unless untrusted us/defender us/wdsi/threats/malware us/windows/apps/develop/smart use used user users uses using variants vector versatile vietnam view=o365 visited vulnerability warning wave web websites when which wild will windows without wmi worldwide#block written xdr/microsoft xss your zip |
| Tags | Ransomware Malware Tool Vulnerability Threat Technical |
| Stories | APT 41 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.