Hackers gebruiken Microsoft MSC-bestanden om verduisterde achterdeur in te zetten bij aanvallen in Pakistan

Er is een nieuwe phishing-campagne waargenomen waarbij gebruik werd gemaakt van kunstaas met een belastingthema om een ​​heimelijke achterdeurlading af te leveren als onderdeel van aanvallen op Pakistan.

Cybersecuritybedrijf Securonix, dat de activiteit onder de naam volgt FLUX#CONSOLEzei dat het waarschijnlijk begint met een phishing-e-maillink of -bijlage, hoewel het zei dat het de originele e-mail die werd gebruikt om de aanval te lanceren niet kon verkrijgen.

“Een van de meest opvallende aspecten van de campagne is hoe de bedreigingsactoren MSC-bestanden (Microsoft Common Console Document) gebruiken om een ​​dual-purpose loader en dropper in te zetten om nog meer kwaadaardige ladingen af ​​te leveren”, aldus beveiligingsonderzoekers Den Iuzvyk en Tim Peck.

Het is vermeldenswaard dat het misbruik van speciaal vervaardigde MSC-bestanden (Management Saved Console) om kwaadaardige code uit te voeren door Elastic Security Labs de codenaam GrimResource heeft gekregen.

Het startpunt is een bestand met dubbele extensies (.pdf.msc) dat zich voordoet als een PDF-bestand (als de instelling voor het weergeven van bestandsextensies is uitgeschakeld) en is ontworpen om een ​​ingebedde JavaScript-code uit te voeren wanneer het wordt gestart met behulp van de Microsoft Management Console (MMC). ).

Deze code is op zijn beurt verantwoordelijk voor het ophalen en weergeven van een lokbestand, terwijl ook heimelijk een DLL-bestand (“DismCore.dll”) op de achtergrond wordt geladen. Een voorbeeld van zo’n document dat in de campagne wordt gebruikt, heet ‘Belastingverlagingen, kortingen en kredieten 2024’, een legitiem document dat is gekoppeld aan de Pakistaanse Federal Board of Revenue (FBR).

“Naast het leveren van de payload van een ingebedde en versluierde string, kan het .MSC-bestand aanvullende code uitvoeren door een extern HTML-bestand te bereiken, wat ook hetzelfde doel bereikt”, aldus de onderzoekers, eraan toevoegend dat persistentie tot stand wordt gebracht met behulp van geplande taken.

De belangrijkste lading is een achterdeur die contact kan maken met een externe server en opdrachten kan uitvoeren die door deze server worden verzonden om gegevens uit gecompromitteerde systemen te exfiltreren. Securonix zei dat de aanval 24 uur na de eerste infectie werd verstoord.

Het is momenteel niet duidelijk wie er achter de malwarecampagne zit, hoewel de bedreigingsactor bekend als Patchwork eerder begin december 2023 werd waargenomen met behulp van een soortgelijk belastinggerelateerd document van FBR.

“Van het zeer versluierde JavaScript dat in de beginfase werd gebruikt tot de diep verborgen malwarecode in de DLL, de hele aanvalsketen illustreert de complexiteit van het detecteren en analyseren van hedendaagse kwaadaardige code”, aldus de onderzoekers.

“Een ander opmerkelijk aspect van deze campagne is de exploitatie van MSC-bestanden als een potentiële evolutie van het klassieke LNK-bestand dat de afgelopen jaren populair is geweest bij bedreigingsactoren. Net als LNK-bestanden maken ze ook de uitvoering van kwaadaardige code mogelijk terwijl ze worden gemengd in legitieme Windows-beheerworkflows.”

Thijs Van der Does