Сообщения от BleepingComputer подчеркивают новую тревожную технику атаки, которая может поставить под угрозу сети организаций. Атака GrimResource использует уязвимость межсайтового скриптинга в Windows, которая остается неустраненной с момента ее обнаружения в 2018 году, что делает ее серьезной угрозой для кибербезопасности.
Техника атаки GrimResource
Согласно отчету Elastic Security Labs, атака начинается с вредоносного MSC файла, нацеленного на уязвимость DOM-основанного XSS в библиотеке ‘apds.dll’. Эта уязвимость может быть объединена с техникой ‘DotNetToJScript’, чтобы обеспечить выполнение произвольного .NET кода и развертывание полезной нагрузки Cobalt Strike в консоли управления Microsoft.
Администраторам систем рекомендуется быть бдительными и следить за признаками эксплуатации техники GrimResource. Это включает мониторинг операций с файлами, связанными с mmc.exe, вызывающим apds.dll, подозрительные RWX выделения памяти mmc.exe, нетипичные .NET COM объекты и временные HTML файлы, возникающие в результате перенаправления APDS XSS.
Превентивные меры
Исследователи Elastic Security также предоставили правила YARA, чтобы помочь организациям обнаруживать подозрительные MSC файлы, предлагая проактивный подход к защите от этой сложной киберугрозы.
- Мониторинг файловых операций: Внимательно следите за действиями, связанными с mmc.exe и apds.dll.
- Анализ памяти: Обратите внимание на подозрительные RWX выделения памяти mmc.exe.
- Идентификация нетипичных объектов: Следите за появлением необычных .NET COM объектов.
- Обнаружение временных HTML файлов: Обратите внимание на временные HTML файлы, возникающие из-за перенаправления APDS XSS.
Эти меры помогут организациям защитить свои сети от потенциальных атак GrimResource и сохранить высокий уровень кибербезопасности.