Negli ultimi tempi, gli attori della minaccia hanno iniziato a sfruttare una tecnica avanzata chiamata AppDomain Manager Injection per rilasciare i beacon CobaltStrike, uno strumento comunemente utilizzato per simulare attacchi informatici e testare la sicurezza delle reti. Questa tecnica, conosciuta dal 2017, è stata recentemente adottata in contesti malevoli, rappresentando una nuova minaccia per la sicurezza informatica.
AppDomain Manager Injection
L’AppDomain Manager Injection è una tecnica che permette agli attaccanti di iniettare codice malevolo in applicazioni Microsoft .NET su sistemi Windows. Questo metodo sfrutta le funzionalità di gestione dei domini delle applicazioni .NET per eseguire codice arbitrario, bypassando molte delle tradizionali misure di sicurezza.
Gli attaccanti utilizzano questa tecnica per caricare un AppDomain Manager personalizzato che esegue il codice malevolo all’interno del contesto dell’applicazione target. Questo permette loro di introdurre payload aggiuntivi, eseguire comandi e muoversi lateralmente attraverso la rete compromessa.
Attacchi recenti
Secondo la Security Holding NTT, recentemente, questa tecnica è stata utilizzata in attacchi contro diverse organizzazioni, tra cui agenzie governative a Taiwan, il settore militare nelle Filippine e organizzazioni energetiche in Vietnam. Gli attacchi hanno sfruttato la capacità di CobaltStrike di eseguire una vasta gamma di azioni malevole, rendendo difficile la rilevazione e la mitigazione.
Come proteggersi
L’uso di AppDomain Manager Injection per rilasciare i beacon CobaltStrike rappresenta una minaccia significativa per la sicurezza informatica. È essenziale che le organizzazioni adottino misure proattive per proteggersi da questi attacchi sofisticati e mantengano una vigilanza costante per rilevare e mitigare le minacce emergenti.
Per proteggersi da questi attacchi, è fondamentale adottare una serie di misure di sicurezza:
- Assicurarsi che tutte le applicazioni e i sistemi operativi siano aggiornati con le ultime patch di sicurezza.
- Implementare un sistema di monitoraggio dei log per rilevare attività sospette.
- Educare il personale sulle tecniche di phishing e sugli indicatori di compromissione.
- Utilizzare soluzioni di sicurezza avanzate che possono rilevare e bloccare tecniche di iniezione di codice.