Rilevazione dell’Attacco GrimResource: Una Nuova Tecnica d’Infezione Sfrutta la Microsoft Management Console per Ottenere Piena Esecuzione del Codice
Indice:
I ricercatori di cybersecurity hanno scoperto una nuova tecnica di esecuzione di codice che utilizza file MSC appositamente creati e una vulnerabilità XSS di Windows. La nuova tecnica di infezione scoperta, soprannominata GrimResource, consente agli aggressori di eseguire codice nella Microsoft Management Console (MMC). I difensori hanno scoperto un campione che utilizza GrimResource, recentemente caricato su VirusTotal a inizio giugno 2024, indicando che la nuova tecnica di infezione è in fase di sfruttamento attivo nel mondo reale.
Rileva attacchi GrimResource
Con il crescente numero di superfici di attacco, gli avversari innovano ininterrottamente i metodi di infezione per ampliare il loro raggio d’azione, evitare la rilevazione e colpire nuove vittime. La scoperta di una nuova tecnica di attacco in-the-wild chiamata GrimResource, che sfrutta MMC per l’accesso iniziale e l’evasione, portando all’esecuzione di codice, sottolinea la necessità di misure difensive a prova di futuro per contrastare sforzi offensivi sofisticati. SOC Prime Platform per la difesa cibernetica collettiva fornisce ai team di sicurezza un insieme di regole Sigma curate per il rilevamento di attacchi GrimResource, aiutandoli a rimanere un passo avanti agli avversari, indipendentemente dalle dimensioni dell’organizzazione, dal livello di maturità della sicurezza informatica o dalle esigenze ambientali.
Fai clic sul pulsante Esplora Rilevazioni sotto per ottenere l’elenco dei contenuti SOC pertinenti arricchiti con CTI attuabile, collegati a MITRE ATT&CK® e disponibili per l’uso su soluzioni SIEM, EDR e Data Lake leader del settore a seconda della tecnologia che la tua organizzazione utilizza.
Analisi degli Attacchi GrimResource
Gli aggressori sfruttano continuamente metodi nuovi per bypassare le difese e diffondere l’infezione dopo aver ottenuto accesso agli ambienti mirati. A seguito della disabilitazione predefinita delle macro di Office da parte di Microsoft per i documenti provenienti da internet, vettori di attacco alternativi sono diventati sempre più popolari. Ad esempio, gli aggressori hanno iniziato a sfruttare nuovi allegati, come Scorciatoie Windows e file OneNote, per rubare credenziali e distribuire malware. Gli avversari stanno attualmente cercando di armare i file MSC di Windows, che vengono utilizzati nella Microsoft Management Console per gestire diversi aspetti del sistema operativo o per creare visualizzazioni personalizzate per strumenti di uso comune.
I ricercatori di Elastic hanno recentemente identificato una nuova tecnica di infezione soprannominata GrimResource che arma i file MSC. Dopo che un utente apre un file MSC appositamente creato, gli aggressori possono eseguire codice arbitrario nel contesto di mmc.exe.
Il flusso di attacco inizia con un file MSC dannoso che cerca di sfruttare una vecchia vulnerabilità XSS basata su DOM nella libreria “apds.dll”, consentendo l’esecuzione arbitraria di JavaScript tramite un URL creato. Questo bug di sicurezza è stato segnalato ad Adobe e Microsoft nell’ottobre 2018; tuttavia, il problema è rimasto non risolto. Sfruttare la vulnerabilità XSS può essere accoppiato con la tecnica “DotNetToJScript” per eseguire codice .NET arbitrario tramite il motore JavaScript, bypassando efficacemente le misure di sicurezza esistenti.
Il campione scoperto utilizza l’offuscamento transformNode per bypassare gli avvisi ActiveX, e il codice JavaScript ricostruisce un VBScript che utilizza DotNetToJScript per caricare un componente .NET soprannominato PASTALOADER. Quest’ultimo recupera il payload dalle variabili d’ambiente definite dal VBScript. Successivamente, PASTALOADER avvia un nuovo processo di dllhost.exe e inietta il payload in esso utilizzando diversi metodi di evasione della rilevazione. Nel campione esaminato, gli aggressori hanno distribuito Cobalt Strike.
Poiché la tecnica offensiva GrimResource è attivamente utilizzata in attacchi in-the-wild, le organizzazioni stanno cercando modi per identificare tempestivamente potenziali infezioni e prevenire proattivamente intrusioni sofisticate. Affidandosi a SOC Prime’s Attack Detective, i team di sicurezza possono affrontare prontamente le minacce emergenti prima che si intensifichino e ottenere una visione in tempo reale del livello di sicurezza informatica dell’organizzazione contro le TTP degli aggressori rilevanti per il tuo profilo di minaccia, massimizzando il valore degli investimenti in sicurezza.
