Новости GrimResource: безобидный файл MSC стал троянским конем в Windows

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Отключение макросов в Office привело к очередной лазейке для незаметного взлома.


tnc0174lv2yvpt38rykffl95mwfvkn3k.jpg


Elastic Security Labs Для просмотра ссылки Войди или Зарегистрируйся новый метод взлома Windows под названием GrimResource, который включает использование специально созданных файлов MSC (Microsoft Saved Console) в сочетании с неисправленной XSS -уязвимостью в Windows для выполнения кода через Microsoft Management Console (MMC). Elastic поделилась Для просмотра ссылки Войди или Зарегистрируйся атаки GrimResource.

MSC-файлы используются в консоли MMC для управления различными аспектами операционной системы или создания пользовательских представлений часто используемых инструментов.

6 июня 2024 года на платформе VirusTotal был обнаружен файл «sccm-updater.msc», использующий технику GrimResource, что указывает на активное использование такой методики. К сожалению, ни один антивирус Для просмотра ссылки Войди или Зарегистрируйся как вредоносный.


4sezdv4plrowlja0cepojcbus8cvnmkd.png


Результаты сканирования VirusTotal

Киберпреступники используют указанную технику для первоначального доступа к сетям и выполнения различных команд. Специалисты подтвердили, что XSS-уязвимость в Windows 11 все еще не исправлена, несмотря на обнаружение ее в 2018 году.

Атака начинается с вредоносного MSC-файла, который пытается использовать Для просмотра ссылки Войди или Зарегистрируйся позволяя выполнить JavaScript через URL. Тактика GrimResource позволяет объединить XSS-уязвимость с методом Для просмотра ссылки Войди или Зарегистрируйся чтобы выполнить произвольный .NET-код через движок JavaScript, обойдя меры безопасности.

Рассматриваемый образец использует обфускацию для уклонения от предупреждений ActiveX, а JavaScript-код активирует VBScript для загрузки .NET-компонента «PASTALOADER», который извлекает полезную нагрузку Cobalt Strike.

Системные администраторы должны обращать внимание на признаки компрометации, такие как операции с файлами «apds.dll», подозрительные выполнения через MCC и необычное создание COM-объектов .NET. Elastic Security Для просмотра ссылки Войди или Зарегистрируйся список индикаторов GrimResource и предложила правила YARA для помощи защитникам в обнаружении подозрительных файлов MSC.

Атака GrimResource появилась после того, как Microsoft Для просмотра ссылки Войди или Зарегистрируйся в июле 2022 года, из-за чего злоумышленники стали экспериментировать с новыми типами файлов в атаках. С тех пор Для просмотра ссылки Войди или Зарегистрируйся файлов ISO, RAR и LNK во вредоносных кампаниях, и сейчас к этому списку добавились MSC-файлы.
 
Источник новости
www.securitylab.ru

Похожие темы