新型攻击技术GrimResource通过仿冒网站席卷国内

概述

奇安信威胁情报中心和猎鹰运营团队在日常运营过程中观察到在2024年6月份时多个境外友商发布与GrimResource[1]新型攻击技术有关的在野攻击活动,我们第一时间对该技术进行了研究并持续进行监控,于2024年7月中旬在政企终端中发现第一例攻击事件,攻击性质我们定性为黑产。通过SEO的方式仿冒chrome浏览器下载站:


新型攻击技术GrimResource通过仿冒网站席卷国内


       GrimResource技术利用mmc系统文件中的XSS漏洞执行js代码,并通过DotNetToJScript的方式内存加载任意.net程序,不仅可以绕过ActiveX控件告警,还能实现无文件落地的payload执行,可以预见在未来的一段时间内,MSC样式的鱼叉邮件将会替代lnk、offcie宏文档等成为攻击者最常用的钓鱼诱饵。建议政企客户不要在非官方网站上下载软件安装包,我们将会详细披露MSC诱饵的攻击链,以便客户进行自查。


技术细节

       攻击者设计了一套非常复杂的执行链:


新型攻击技术GrimResource通过仿冒网站席卷国内


       在最原始的msc文件中,攻击者将js代码进行了混淆


新型攻击技术GrimResource通过仿冒网站席卷国内


ob解混淆后发现攻击者最底层使用了jsjiami.com.v7的加密库


新型攻击技术GrimResource通过仿冒网站席卷国内


最终请求154.91.65.103/0day.js下载第二阶段经过复杂混淆的js代码,解混淆后的内容主要是加载154.91.65.103/0day.xsl,内容如下:


新型攻击技术GrimResource通过仿冒网站席卷国内


       反序列化执行base64加密后的.net下载者,DLL名为:TestAssembly.dll,带有PDB:


新型攻击技术GrimResource通过仿冒网站席卷国内


       主要功能为下载bandzip组件、python组件、code.zip、autokey组件等。


新型攻击技术GrimResource通过仿冒网站席卷国内


       给autokey组件的白进程wd.exe创建计划任务,启动后会加载同目录下的wd.ahk脚本。


新型攻击技术GrimResource通过仿冒网站席卷国内


       AHK脚本的主要功能为,通过bandzip组件解压缩code.zip,解压密码为403team。


新型攻击技术GrimResource通过仿冒网站席卷国内


接着调用python环境组件启动code.py,内容如下:


新型攻击技术GrimResource通过仿冒网站席卷国内


Python的功能同样为下载者,从远程服务器(http://comc0m.com/huiyuan/154.91.65.103.bin)下载shellcode并内存加载,我们将该shellcode命名为codemark downloader。请求C2服务器154.91.65.103的1688端口获取加密payload


新型攻击技术GrimResource通过仿冒网站席卷国内


对payload解密后为最终的codemark Rat,导出函数如下:


新型攻击技术GrimResource通过仿冒网站席卷国内


该木马曾经被友商披露过[2],回连域名:yk.ggdy.com


新型攻击技术GrimResource通过仿冒网站席卷国内


除此之外TestAssembly.dll还启动了powershell执行远程PS脚本(154.91.65.103/ps1.txt),最终加载商业远控winos。 


总结

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。


新型攻击技术GrimResource通过仿冒网站席卷国内


IOC

MD5:

5fec1fcbf0f18242ce916d3804609247

2efe2018512d2d5b992f3f4f97700159

876eec74a94445853d0a636c7490de88

bdb0d1b2ce0bd70886ee8c38041df760

62ba097fe395aad042780d7e050189d6

1a226a738f2ed795a4f9bd5b99b60061

 

C2:

154.91.65.103:1688

154.91.65.103:80

hxxp://comc0m.com/huiyuan/154.91.65.103.bin

154.91.65.103:80

 

参考链接

[1].https://www.bleepingcomputer.com/news/security/new-grimresource-attack-uses-msc-files-and-windows-xss-flaw-to-breach-networks/

[2].https://www.bilibili.com/read/cv25135288/

新型攻击技术GrimResource通过仿冒网站席卷国内

点击阅读原文ALPHA 7.0

即刻助力威胁研判


原文始发于微信公众号(奇安信威胁情报中心):新型攻击技术GrimResource通过仿冒网站席卷国内

版权声明:admin 发表于 2024年7月16日 下午5:52。
转载请注明:新型攻击技术GrimResource通过仿冒网站席卷国内 | CTF导航

相关文章