Исследователи Elastic Security обнаружили новую методику выполнения кода, названную GrimResource, которая использует специально созданные MSC-файлы. Эта техника позволяет злоумышленникам выполнить произвольный код в Microsoft Management Console (mmc.exe) с минимальными предупреждениями безопасности. Исследователи предоставили анализ этой техники и руководство по обнаружению для защиты от нее.
Техника GrimResource использует старый XSS-дефект в библиотеке apds.dll. Злоумышленники добавляют ссылку на уязвимый ресурс APDS в фальшивый MSC-файл, что позволяет им выполнить произвольный JavaScript в контексте mmc.exe. Также могут быть использованы техники обфускации, чтобы обойти предупреждения безопасности ActiveX.
Далее, злоумышленники используют DotNetToJs для выполнения встроенного .NET-загрузчика, названного PASTALOADER. PASTALOADER извлекает полезную нагрузку из переменных окружения, которые были заданы ранее в VBScript. Затем, PASTALOADER запускает новый экземпляр dllhost.exe и внедряет полезную нагрузку, такую как Cobalt Strike.
Этот новый метод GrimResource обладает низким уровнем обнаружения среди антивирусных программ и представляет угрозу безопасности.
Indicators of Compromise
SHA256
- 14bcb7196143fd2b800385e9b32cfacd837007b0face71a73b546b53310258bb
- 4cb575bc114d39f8f1e66d6e7c453987639289a28cd83a7d802744cd99087fd7
- c1bba723f79282dceed4b8c40123c72a5dfcf4e3ff7dd48db8cb6c8772b60b88