GrimResource
Az Elastic kutatói egy új fertőzési technikát fedeztek fel, amely az MSC fájlokat használja ki, és amelyet GrimResource neveztek el. Lehetővé teszi a támadók számára, hogy teljes kódfuttatást érjenek el az mmc.exe kontextusában, miután a felhasználó rákattint egy speciálisan kialakított MSC-fájlra. A GrimResource-t kihasználó mintát először június 6-án töltötték fel a VirusTotalra.
A GrimResource lehetővé teszi a támadók számára, hogy tetszőleges kódot futtassanak a Microsoft Management Console-ban (mmc.exe) minimális biztonsági figyelmeztetésekkel, ami ideális a kezdeti hozzáférés megszerzéséhez és a védelem megkerülésére.
Az Elastic a korábbi UNC1151 kampányban megfigyeltekhez hasonlóan elemzést és észlelési útmutatást nyújt a technikáról, hogy a közösség megvédhesse magát.
Áttekintés
A Mandiant Threat Intelligence egy Ghostwriter/UNC1151 információs műveletet fedezett fel, amely egy nagyobb befolyásolási kampány része, amely az orosz biztonsági érdekeket támogatja és a NATO-val szemben kritikus narratívákat népszerűsít. A legalább 2017 márciusa óta aktív kampány elsősorban az ukrajnai, litvániai, lettországi és lengyelországi közönséget célozza meg, hamis információkat terjesztve kompromittált webhelyeken és hamisított e-mail fiókokon keresztül. Az UNC1151-et a fehérorosz kormánnyal hozták kapcsolatba.
A jelentés megerősíti a Cyble Research and Intelligence Labs (CRIL) jelentését.