Elastic Security Labs выявилановый метод взлома Windows под названием GrimResource, который включает использование специально созданных файлов MSC (Microsoft Saved Console) в сочетании с неисправленной XSS-уязвимостью в Windows для выполнения кода через Microsoft Management Console (MMC). Elastic поделилась видео-демонстрациейатаки GrimResource.
MSC-файлы используются в консоли MMC для управления различными аспектами операционной системы или создания пользовательских представлений часто используемых инструментов.
6 июня 2024 года на платформе VirusTotal был обнаружен файл “sccm-updater.msc”, использующий технику GrimResource, что указывает на активное использование такой методики. К сожалению, ни один антивирус не пометил файл как вредоносный.
Результаты сканирования VirusTotal
Киберпреступники используют указанную технику для первоначального доступа к сетям и выполнения различных команд. Специалисты подтвердили, что XSS-уязвимость в Windows 11 все еще не исправлена, несмотря на обнаружение ее в 2018 году.
Атака начинается с вредоносного MSC-файла, который пытается использовать XSS-уязвимость в библиотеке “apds.dll”, позволяя выполнить JavaScript через URL. Тактика GrimResource позволяет объединить XSS-уязвимость с методом DotNetToJScript, чтобы выполнить произвольный .NET-код через движок JavaScript, обойдя меры безопасности.
Рассматриваемый образец использует обфускацию для уклонения от предупреждений ActiveX, а JavaScript-код активирует VBScript для загрузки .NET-компонента “PASTALOADER”, который извлекает полезную нагрузку Cobalt Strike.
Системные администраторы должны обращать внимание на признаки компрометации, такие как операции с файлами “apds.dll”, подозрительные выполнения через MCC и необычное создание COM-объектов .NET. Elastic Security опубликоваласписок индикаторов GrimResource и предложила правила YARA для помощи защитникам в обнаружении подозрительных файлов MSC.
Атака GrimResource появилась после того, как Microsoft по умолчанию отключила макросы в Office в июле 2022 года, из-за чего злоумышленники стали экспериментировать с новыми типами файлов в атаках. С тех пор возросло использование файлов ISO, RAR и LNK во вредоносных кампаниях, и сейчас к этому списку добавились MSC-файлы.