Hacker nutzen AppDomain-Hijacking, um vertrauenswürdige Intel-Dienstprogramme in Malware-Launcher umzuwandeln

Sicherheitsforscher haben eine hochkomplexe Angriffs-Kampagne aufgedeckt, die ein legitimes, digital signiertes Intel-Utility waffenisiert, um heimlich Malware zu deployen, und das alles, ohne eine einzige Zeile des Orig Sicherheitsforscher haben eine hochkomplexe Angriffs-Kampagne aufgedeckt, die ein legitimes, digital signiertes Intel-Utility waffenisiert, um heimlich Malware zu deployen, und das alles, ohne eine einzige Zeile des Originalprogrammcodes zu berühren.

Die Kampagne, genannt Operation PhantomCLR, stellt eine ernsthafte Weiterentwicklung darin dar, wie fortgeschrittene Angreifer sich in vertrauenswürdige Systeme einschleusen, um der Erkennung zu entgehen. Der Angriff nutzt eine Funktion, die in Microsofts .NET-Runtime eingebaut ist und als AppDomainManager-Mechanismus bezeichnet wird.

Wenn eine .NET-Anwendung startet, sucht die Runtime automatisch nach einer Konfigurationsdatei im selben Ordner wie die ausführbare Datei.

Angreifer haben herausgefunden, wie sie dieses Verhalten missbrauchen, indem sie eine waffenisierte Konfigurationsdatei neben ein legitimes Intel-Binary namens IASTorHelp.exe legen, ein echtes, signiertes Intel-Speicher-Utility.

Dadurch wird der bösartige Code ausgeführt, bevor das Intel-Programm überhaupt mit seinen normalen Vorgängen beginnt, was ihn für traditionelle Sicherheitstools nahezu unsichtbar macht. Organisationen in den Finanzsektoren des Nahen Ostens und der EMEA sind die Hauptziele dieser Operation.

Angreifer erlangen den anfänglichen Zugang durch Spear-Phishing-E-Mails, die ein bösartiges ZIP-Archiv enthalten.