GrimResource: безобидный файл MSC стал троянским конем в Windows

Elastic Security Labs выявила новый метод взлома Windows под названием GrimResource, который включает использование специально созданных файлов MSC (Microsoft Saved Console) в сочетании с неисправленной XSS-уязвимостью в Windows для выполнения кода через Microsoft Management Console (MMC). Elastic поделилась видео-демонстрацией атаки GrimResource.

MSC-файлы используются в консоли MMC для управления различными аспектами операционной системы или создания пользовательских представлений часто используемых инструментов.

6 июня 2024 года на платформе VirusTotal был обнаружен файл «sccm-updater.msc», использующий технику GrimResource, что указывает на активное использование такой методики. К сожалению, ни один антивирус не пометил файл как вредоносный.

Результаты сканирования VirusTotal

Киберпреступники используют указанную технику для первоначального доступа к сетям и выполнения различных команд. Специалисты подтвердили, что XSS-уязвимость в Windows 11 все еще не исправлена, несмотря на обнаружение ее в 2018 году.

Атака начинается с вредоносного MSC-файла, который пытается использовать XSS-уязвимость в библиотеке «apds.dll», позволяя выполнить JavaScript через URL. Тактика GrimResource позволяет объединить XSS-уязвимость с методом DotNetToJScript, чтобы выполнить произвольный .NET-код через движок JavaScript, обойдя меры безопасности.

Рассматриваемый образец использует обфускацию для уклонения от предупреждений ActiveX, а JavaScript-код активирует VBScript для загрузки .NET-компонента «PASTALOADER», который извлекает полезную нагрузку Cobalt Strike.

Системные администраторы должны обращать внимание на признаки компрометации, такие как операции с файлами «apds.dll», подозрительные выполнения через MCC и необычное создание COM-объектов .NET. Elastic Security опубликовала список индикаторов GrimResource и предложила правила YARA для помощи защитникам в обнаружении подозрительных файлов MSC.

Атака GrimResource появилась после того, как Microsoft по умолчанию отключила макросы в Office в июле 2022 года, из-за чего злоумышленники стали экспериментировать с новыми типами файлов в атаках. С тех пор возросло использование файлов ISO, RAR и LNK во вредоносных кампаниях, и сейчас к этому списку добавились MSC-файлы.