'GrimResource'라는 새로운 명령 실행 기법이 발견되었습니다. 이 기법은 특별히 제작된 MSC(Microsoft Saved Console)와 패치되지 않은 Windows XSS 취약점을 이용해 Microsoft Management Console를 통해 코드를 실행합니다. 2022년 7월, Microsoft는 Office의 매크로를 기본적으로 비활성화하면서, 위협 요인들은 새로운 파일 유형을 피싱 공격에 사용하게 되었습니다. 그러나 Microsoft가 이 문제를 해결하고 7-Zip이 MoTW 플래그를 전파하는 옵션을 추가하자, 공격자들은 Windows 단축키와 OneNote 파일과 같은 새로운 첨부 파일로 전환하게 되었습니다.
공격자들은 MMC(Microsoft Management Console)에서 운영 체제의 다양한 측면을 관리하거나 일반적으로 액세스하는 도구에 대한 사용자 지정 보기를 생성하는 데 사용되는 새로운 파일 형식인 Windows MSC(.msc) 파일로 전환했습니다. 이러한 MSC 파일의 악용은 이전에 한국의 사이버 보안 회사 Genian이 보고하였습니다. 이 연구에 자극을 받아 Elastic 팀은 MSC 파일을 배포하고 오래되었지만 패치되지 않은 Windows XSS 취약점을 악용하여 Cobalt Strike를 배포하는 새로운 기법을 발견하였습니다.
요약
- 'GrimResource'라는 새로운 명령 실행 기법이 발견되었으며, 이 기법은 특별히 제작된 MSC와 패치되지 않은 Windows XSS 취약점을 이용한다.
- 공격자들은 이제 Windows MSC 파일, 즉 Microsoft Management Console에서 운영 체제의 다양한 측면을 관리하거나 일반적으로 접근하는 도구의 사용자 정의 뷰를 생성하는 데 사용되는 새로운 파일 유형으로 전환하였다.
- 이 연구에 자극을 받아 Elastic 팀은 MSC 파일을 배포하고 오래되었지만 패치되지 않은 Windows XSS 취약점을 악용하여 Cobalt Strike를 배포하는 새로운 기법을 발견하였다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.