A “GrimResource” névre keresztelt új parancsvégrehajtási technika speciálisan kialakított MSC (Microsoft Saved Console) és egy még nem javított Windows XSS hibát használ a Microsoft Management Console-on keresztül történő kódfuttatáshoz.
2022 júliusában a Microsoft alapértelmezés szerint letiltotta a makrókat az Office-ban, ami arra késztette a támadókat, hogy új fájltípusokkal kísérletezzenek az adathalász támadásokban. A támadók először az ISO lemezképekre és a jelszóval védett ZIP fájlokra váltottak, mivel a Windows nem jelölte meg ezeket a fájltípusokat potenciálisan nem biztonságosnak (MoTW), így a felhasználók nem kaptak figyelmeztetést a fájlok megnyitásakor, így könnyebben és észrevétlenül be tudtak a támadók jutni a rendszerükbe.
Miután a Microsoft kijavította ezt a problémát az ISO és a 7-Zip fájlokban, és hozzáadta a MoTW flag lehetőségét, a támadók kénytelenek voltak új mellékletekre, például Windows Shortcuts és OneNote fájlokra váltani.
A támadók most egy új fájltípusra, a Windows MSC (.msc) fájlokra váltottak, amelyeket a Microsoft Management Console-ban (MMC) használnak az operációs rendszer kezelésére vagy a gyakran használt eszközök egyéni nézeteinek létrehozására.
Az Elastic csapata fedezett fel egy új technikát az MSC fájlok terjesztésére és az apds.dll fájlban található régi, de még nem javított Windows XSS hibával való visszaélésre a Cobalt Strike telepítéséhez. Találtak egy mintát (sccm-updater.msc), amelyet 2024. június 6-án töltöttek fel a VirusTotalra, és amely a GrimResource-t használja, vagyis a technikát aktívan kihasználják. A helyzetet tovább rontja, hogy a VirusTotal egyik vírusirtó motorja sem jelölte rosszindulatúnak.
A rendszergazdáknak érdemes a következőkre figyelniük:
- Az mmc.exe által meghívott apds.dll fájlműveletekre.
- Gyanús futtatások az MCC-n keresztül, különösen az mmc.exe által .msc fájlargumentumokkal indított folyamatok.
- RWX memóriafoglalások az mmc.exe által, amelyek szkriptmotorokból vagy .NET komponensekből származnak.
- Szokatlan .NET COM objektumok létrehozása nem szabványos szkriptértelmezőkben (pl. JScript, VBScript).
- Az INetCache mappában az APDS XSS átirányítás eredményeként létrehozott ideiglenes HTML fájlok.
Az Elastic Security a GrimResource indikátorok teljes listáját is közzétette a GitHubon, és a jelentésben YARA-szabályokat is megadott, hogy segítsen felismerni a gyanús MSC fájlokat.
